In einem in dieser Woche veröffentlichten Bericht beschreibt Arctic Wolf eine deutliche Weiterentwicklung von Kali365. Die Plattform habe ihren Fokus von Microsoft 365 auf weitere Dienste ausgedehnt und richte sich nun gegen digitale Identitäten über mehrere Plattformen hinweg. Neben AWS, Okta und Xerox DocuShare nennen die Forscher mehrere russische Internetdienste als Ziele.

Besonders auffällig ist laut Arctic Wolf die Ausweitung auf MAX Messenger. Der Sicherheitsanbieter wertet dies als gezielte und konsistente Ausrichtung auf russische Verbraucher-Internetplattformen zusätzlich zu den bisherigen westlichen Unternehmenszielen der Betreiber. Wer Übernahmen von MAX-Konten zur weiteren Verbreitung nutzen könne, habe Zugang zu einer der größten installierten Messaging-Basen in der russischsprachigen Welt, so Arctic Wolf.

Kali365 gilt in den vergangenen Monaten als eines der auffälligeren Beispiele für ein Device-Code-Phishing-Kit. Diese Angriffsmethode missbraucht den Authentifizierungsablauf, der etwa bei Smart-TVs, Druckern oder anderen Geräten zum Einsatz kommt, wenn diese keinen vollständigen Browser oder keine Tastatur besitzen. Nutzer melden sich dann über ein separates Gerät an, indem sie einen angezeigten Code eingeben.

Bei einem solchen Angriff erzeugt der Bedrohungsakteur eine legitime OAuth-2.0-Anfrage zur Geräteautorisierung und verleitet das Opfer anschließend dazu, den zugehörigen Code auf einer echten Login-Seite einzugeben. Das kann etwa über Phishing-Mails geschehen, die eine geteilte OneDrive-Datei oder eine Sicherheitsüberprüfung vortäuschen. Sobald das Opfer die Anmeldung abschließt und notwendige MFA-Schritte bestätigt, stellt der Dienst Zugriffstoken für die Sitzung des Angreifers aus. Laut Beschreibung im Quelltext war dies bei Kali365 zunächst Microsoft365. Der Angreifer erhält damit Zugang zum Konto, ohne jemals die Zugangsdaten des Opfers eingeben zu müssen.

Gerade diese Eigenschaft veranlasste das FBI im vergangenen Monat zu einer öffentlichen Warnmeldung zu Kali365. Die Behörde erklärte, die Plattform senke die Einstiegshürde und verschaffe auch weniger technisch versierten Angreifern Zugang zu KI-generierten Phishing-Ködern, automatisierten Kampagnenvorlagen, Dashboards zur Echtzeit-Verfolgung gezielter Personen und Organisationen sowie Funktionen zum Abgreifen von OAuth-Tokens.

Nach Analyse von Arctic Wolf ist Kali365 in den vergangenen Wochen weiter gewachsen. Die Forscher konnten nach eigenen Angaben die aktive Command-and-Control-Infrastruktur der Plattform identifizieren und darüber ein Cluster von 126 bösartigen Hosts zuordnen, die zwischen Anfang und Ende Mai aktiv waren und sämtlich dasselbe Kit auslieferten. Diese Hosts gaben sich laut Arctic Wolf als eine breite Palette von Diensten aus, darunter Microsoft Outlook, Microsoft Live, Okta SSO, Xerox DocuShare, der deutsche E-Mail-Anbieter GMX, Namenskonventionen von Amazon Web Services sowie mehrere große russische Onlinedienste wie Mail.ru, Yandex Disk und das soziale Netzwerk Odnoklassniki.

Für Arctic Wolf zeigt diese Breite, dass sich Kali365 von einer spezialisierten Plattform zum Diebstahl von M365-Tokens zu einer deutlich umfassenderen Plattform für den Diebstahl von Zugangsdaten entwickelt hat, die Unternehmensorganisationen in verschiedenen Regionen bedroht. Der Bericht des Anbieters enthält zudem konkrete Maßnahmen, mit denen Unternehmen potenziell bösartige Aktivitäten im Zusammenhang mit Kali365 erkennen können.

Kali365 ist nicht das einzige verfügbare Device-Code-Phishing-Kit. Als weitere Beispiele nennt der Quelltext Tycoon2FA, Venom und CYB3R. Push Security berichtete kürzlich von einem „massiven Anstieg“ solcher Aktivitäten und erklärte, derzeit seien mindestens 14 derartige Kits im Umlauf. Einige davon seien bestehende Phishing-as-a-Service-Plattformen, die Device-Code-Funktionen ergänzt haben, andere seien neu.