Blog
Threat Intelligence 2026-05-20 8 min czytania

VENOM: Kampania kradzieży danych uwierzytelniających kadry zarządzającej omijająca MFA

Zaawansowana pięciofazowa kampania atakuje kadrę zarządzającą w ponad 20 branżach. Wykorzystuje techniki adversary-in-the-middle do przejmowania uwierzytelnionych sesji — czyniąc tradycyjne MFA całkowicie nieskutecznym.

Źródło:Arsen — Obrona przed phishingiem i socjotechniką
VENOM: Kampania kradzieży danych uwierzytelniających kadry zarządzającej omijająca MFA

Niniejsza analiza opiera się na udokumentowanej kampanii aktywnej przez ponad pięć miesięcy w latach 2025-2026. 60% celów to osoby na stanowiskach C-level, prezesi lub przewodniczący zarządu. Samo MFA nie zatrzymuje tego ataku.

Przegląd kampanii

Nowa kampania kradzieży danych uwierzytelniających — śledzona jako VENOM — atakuje osoby na najwyższych stanowiskach kierowniczych w ponad 20 branżach. W przeciwieństwie do tradycyjnego phishingu, atak ten nie ogranicza się do kradzieży haseł. Działa w ramach w pełni uwierzytelnionych sesji Microsoft 365, czyniąc uwierzytelnianie wieloskładnikowe nieistotnym po powodzeniu ataku.

Kampania jest wysoce spersonalizowana: cele są wybierane po nazwisku i stanowisku, wiadomości e-mail są brandowane nazwą organizacji ofiary, a cały łańcuch ataku jest zaprojektowany tak, aby ominąć zarówno kontrole techniczne, jak i ludzką czujność.

Pięciofazowy łańcuch ataku

Faza 1

Dostarczenie — brandowane powiadomienia SharePoint

Cele otrzymują to, co wygląda jak legitymowane powiadomienie SharePoint, dynamicznie spersonalizowane z wewnętrznym brandingiem organizacji. E-mail zawiera kod QR zbudowany wyłącznie ze znaków Unicode — technika omijająca skanery obrazów w systemach e-mail. Przynęta imituje platformy, z których kadra kierownicza korzysta codziennie: SharePoint, DocuSign lub usługi kurierskie.

Faza 2

Zmiana urządzenia — przejście na prywatny telefon

Gdy cel skanuje kod QR, atak przenosi się na jego osobisty telefon — całkowicie omijając firmowe proxy, detekcję na endpointach i monitoring sieciowy. Adres e-mail celu jest podwójnie zakodowany w Base64 we fragmencie URL (po znaku #), co czyni go niewidocznym dla logów proxy i narzędzi inspekcji URL.

Faza 3

Filtrowanie botów — fałszywe wyzwanie bezpieczeństwa

Przed dotarciem do strony phishingowej odwiedzający przechodzą przez fałszywą weryfikację Cloudflare lub Microsoft Defender. Bramka ta używa analizy User-Agent, reputacji IP i wyzwań proof-of-work do odfiltrowania crawlerów bezpieczeństwa i sandboxów. Narzędzia automatyczne są przekierowywane na legitymowane strony Microsoft.

Faza 4

Zbieranie danych — przejmowanie sesji w czasie rzeczywistym

Ofiara widzi idealną replikę strony logowania Microsoft swojej organizacji — z logo firmowym i wstępnie wypełnionym adresem e-mail. Za kulisami proxy adversary-in-the-middle przekazuje dane uwierzytelniające do API Microsoft w czasie rzeczywistym, przechwytując tokeny sesji i tokeny odświeżania. Alternatywny przepływ Device Code powoduje, że ofiara uwierzytelnia się bezpośrednio na microsoft.com, podczas gdy tokeny są po cichu dostarczane atakującemu.

Faza 5

Utrzymanie dostępu — rejestracja nieautoryzowanego urządzenia MFA

Zanim przeglądarka przekieruje ofiarę na niegroźną stronę błędu, atakujący rejestruje nowe urządzenie MFA pod swoją kontrolą. W logach Entra ID pojawia się to jako zdarzenie "SoftwareTokenActivated" z nazwą "NO_DEVICE." Od tego momentu atakujący ma trwały dostęp, który przetrwa reset hasła — tylko pełna rewokacja sesji i tokenów w Entra ID go zablokuje.

Przykład brandowanego e-maila phishingowego SharePoint z kodem QR Unicode użytego w kampanii VENOM
Przykład brandowanego e-maila phishingowego SharePoint z kodem QR Unicode użytego w kampanii VENOM
Przepływ uwierzytelniania Device Code — ofiara loguje się na microsoft.com, podczas gdy tokeny są po cichu przekazywane atakującemu
Przepływ uwierzytelniania Device Code — ofiara loguje się na microsoft.com, podczas gdy tokeny są po cichu przekazywane atakującemu

Dlaczego socjotechnika sprawia, że to działa

Zaawansowanie techniczne to tylko połowa sukcesu. Kampania działa, ponieważ wykorzystuje głęboko zakorzenione wzorce zachowań w codziennej pracy kadry zarządzającej:

  • Autorytet i rutyna — imitowane platformy odpowiadają codziennym przepływom pracy kadry kierowniczej, wywołując nawykowe reakcje bez krytycznej oceny
  • Personalizacja — domeny nadawców pochodzą od organizacji celów, z nazwami firm w stopkach, tworząc pozór komunikacji wewnętrznej
  • Normalizacja weryfikacji — fałszywe wyzwania bezpieczeństwa imitują znane interakcje webowe, sprawiając że przepływ phishingowy wydaje się legitymowany
  • Autentyczność wizualna — strona logowania jest lustrzaną kopią rzeczywistego dostawcy tożsamości celu, wizualnie nieodróżnialną od prawdziwej
  • Subtelność Device Code — w tym wariancie cel wykonuje legitymowaną akcję na microsoft.com; kompromitacja następuje wyłącznie w miejscu dostarczenia tokenów

Rekomendacje obronne

Standardowe szkolenia świadomościowe i polityki MFA są niewystarczające wobec tej klasy ataków. Organizacje powinny priorytetyzować:

  • Symulacje phishingowe dedykowane kadrze zarządzającej — generyczne szkolenia nie adresują spersonalizowanego spear-phishingu, vishingu i ataków wielowektorowych celujących w role C-suite
  • Testowanie phishingu kodami QR — symuluj ataki oparte na QR zanim prawdziwi przeciwnicy je wdrożą; większość organizacji ma tutaj zerowe pokrycie
  • Hartowanie Microsoft 365 — ogranicz uwierzytelnianie Device Code przez Conditional Access, monitoruj logi audytowe Entra ID pod kątem podejrzanych zdarzeń "SoftwareTokenActivated" i upewnij się, że reagowanie na incydenty obejmuje jawną rewokację sesji i tokenów
  • Monitoring zagrożeń — śledź domeny typosquattingowe i ekspozycję danych kadry zarządzającej w dark webie, aby zmniejszyć skuteczność spersonalizowanych przynęt
  • Wielowektorowe ćwiczenia red team — łącz phishing, kody QR, vishing i testowanie BEC, aby walidować obronę na całej powierzchni ataku

KLUCZOWE WNIOSKI

  • 1
    Samo MFA już nie wystarcza — atakujący działają wewnątrz w pełni uwierzytelnionych sesji, czyniąc tradycyjne uwierzytelnianie wieloskładnikowe nieistotnym
  • 2
    60% celów to osoby na stanowiskach C-level — to precyzyjna kampania atakująca kadrę zarządzającą po nazwisku, stanowisku i organizacji
  • 3
    Ataki przenoszą się na prywatne urządzenia mobilne — kody QR przenoszą łańcuch ataku poza sieci korporacyjne, całkowicie omijając detekcję na endpointach i monitoring proxy
  • 4
    Reset hasła nie pomoże — atakujący rejestrują nieautoryzowane urządzenia MFA zapewniające trwały dostęp, który przetrwa zmianę danych uwierzytelniających

Kluczowy wniosek

Kampania VENOM dowodzi, że MFA jest kontrolą konieczną, ale już niewystarczającą do ochrony kont kadry zarządzającej. Gdy atakujący działają w ramach uwierzytelnionych sesji i rejestrują mechanizmy trwałego dostępu, jedyną skuteczną odpowiedzią jest połączenie utwardzonej infrastruktury tożsamości, ukierunkowanego szkolenia ludzi i proaktywnego wywiadu zagrożeń.

Atak nie omija MFA — sprawia, że MFA staje się nieistotne, działając wewnątrz uwierzytelnionej sesji. Obrona przed tym wymaga przemyślenia, co "bezpieczne uwierzytelnianie" naprawdę oznacza w 2026 roku.

Chroń kadrę zarządzającą przed atakami typu VENOM

Arsen zapewnia symulacje phishingowe oparte na AI, testowanie ataków QR code i szkolenia dedykowane kadrze zarządzającej — dokładnie te mechanizmy obronne, które rekomendujemy wobec tej kampanii.

Poznaj Arsen

Powiązane usługi

Obrona przed phishingiem i deepfake Audyty bezpieczeństwa Bezpieczeństwo AI (Prompt Security)
ZABEZPIECZ SWOJĄ

ORGANIZACJĘ

Cyberzagrożenia nie śpią. Niezależnie czy potrzebujesz natychmiastowej reakcji na incydent, czy długoterminowej strategii, ZeroLayer jest w gotowości.

Sprzedaż i Strategia
info@zerolayer.eu
Incydenty Krytyczne (24/7)
+48 662 588 820

Twoje dane są szyfrowane i przetwarzane zgodnie z RODO.