Otkrivena je sofisticirana kampanja slanja lažnih mejlova koja pogađa više od 70 organizacija, a koja iskorištava funkciju “Direct Send” u Microsoft 365. Ovakav noviji način napada omogućava kriminalcima da lažiraju identitet internih korisnika i isporučuju fišing mejlove bez potrebe da kompromituju ijedan nalog, čime zaobilaze tradicionalne sigurnosne mehanizme za e-poštu koji obično provjeravaju spoljne komunikacije.
Kampanja, koja je započela u maju 2025. godine i pokazuje konzistentnu aktivnost u protekla dva mjeseca, primarno cilja na organizacije sa sjedištem u Sjedinjenim Američkim Državama, raširene po različitim industrijama i lokacijama. Ono što ovu vrstu napada čini posebno zabrinjavajućom jeste iskorištavanje manje poznate funkcije Microsoft 365, koja je izvorno namijenjena legitimnoj internoj komunikaciji, ali kojoj nedostaju adekvatne zaštite za provjeru autentičnosti. U ovim napadima, zlonamjerni akteri koriste funkcionalnost “Direct Send” unutar Microsoft 365 kako bi ciljali pojedinačne organizacije sa fišing porukama koje prolaze znatno manje provjere u poređenju sa standardnim dolaznim mejlovima. Napadi se povezuju zajedničkim elementima u svom pristupu, uključujući slične naslove mejlova, IP adrese pošiljaoca i vektore napada.
**Razumijevanje ranjivosti “Direct Send”**
“Direct Send” je funkcija unutar Exchange Online-a, osmišljena kako bi omogućila internim uređajima, poput štampača i aplikacija, da šalju mejlove unutar Microsoft 365 tenanta bez potrebe za provjerom autentičnosti. Ova funkcija koristi “smart host” sa predvidivim formatom: `tenantname.mail.protection.outlook.com`. Ključni sigurnosni propust leži u potpunom odsustvu zahtjeva za provjeru autentičnosti. Za izvođenje svojih kampanja, napadačima su potrebni samo javno dostupni podaci: domen ciljane organizacije i važeće adrese primalaca. Ove informacije se često lako dobijaju putem društvenih mreža, javnih izvora ili ranijih curenja podataka.
Proces napada je izuzetno jednostavan. Nakon što kriminalci identifikuju domen i važeće primaoce, mogu slati lažirane mejlove koji izgledaju kao da dolaze iz unutrašnjosti organizacije, a da nikada ne pristupe nalogu ili tenantu. Ova jednostavnost čini “Direct Send” atraktivnim i niskotarifnim vektorom za sofisticirane fišing kampanje. Forenzički tim je primijetio da napadači koriste PowerShell komande za slanje lažiranih mejlova putem “smart hosta”. Ovi mejlovi se čine kao da potiču od legitimnih internih korisnika, uprkos tome što ih šalju neautentifikovani spoljni akteri. Metoda je efikasna iz više razloga: ne zahtijeva korisničke akreditive, “smart host” prihvata mejlove iz bilo kojeg spoljnog izvora, a adresa pošiljaoca (“From”) se može lažirati da izgleda kao bilo koji interni korisnik. Budući da ovi mejlovi prolaze kroz Microsoftovu infrastrukturu i izgledaju kao da potiču iz samog tenanta, mogu zaobići i filterske mehanizme samog Microsofta, kao i rješenja za sigurnost e-pošte trećih strana koja se oslanjaju na reputaciju pošiljaoca i rezultate provjere autentičnosti.
Istraživači iz kompanije Varonis identifikovali su specifične obrasce ponašanja koji ukazuju na zloupotrebu “Direct Send” funkcije. U jednom značajnom slučaju, uzbune su se aktivirale zbog aktivnosti sa ukrajinskih IP adresa, što je neočekivana lokacija za pogođeni tenant. Za razliku od tipičnih upozorenja o geolokaciji praćenih pokušajima prijave, ovi incidenti su pokazali samo aktivnost e-pošte bez ikakvih događaja prijave. Ključni pokazatelji za detekciju uključuju mejlove poslate od korisnika samima sebi, “user agent” iz PowerShell-a ili komandne linije u zaglavljima poruka, neobične IP adrese sa VPN-ova ili iz stranih geolokacija, te sumnjive privitke.
**Indikatori kompromitacije (IoC)**
IP adrese: 139.28.36[.]230 i višestruke IP adrese unutar prostora 139.28.X.X korišćene su od strane kriminalca u ovoj kampanji za lansiranje mejlova.
Domene: hxxps://voice-e091b.firebaseapp[.]com i hxxps://mv4lh.bsfff[.]es.
Naslovi mejlova često sadrže: “Caller Left VM Message * Duration-XXXX for XXXX”, “Fax-msg mm/dd/yyyy, hh:mm:ss AM/PM (2 Pages) RefID: XXXX”, “New Missed Fax-msg”, “New Missed Fax-Msg (2 pages)”, “You have received a new (2 pages) *Fax-Msg* to email@****”, “Fax Received: Attached document for review REF”.
Privitci mejlova često sadrže: “Fax-msg”, “Caller left VM Message” ili “Listen” u nazivu datoteke.
Analiza zaglavlja poruka otkriva spoljne IP adrese poslatih na “smart hostove”, neuspjehe provjere autentičnosti u SPF, DKIM ili DMARC za interne domene, te neusklađene ID-jeve tenanata. Ova kampanja ukazuje na kritičnu slijepu tačku u sigurnosnoj arhitekturi Microsoft 365. Organizacije moraju implementirati dodatne mehanizme praćenja i detekcije kako bi prepoznale zloupotrebu “Direct Send” funkcije, istovremeno održavajući legitimne slučaje upotrebe kao što su automatske obavijesti i integracije trećih strana. Ovo otkriće naglašava važnost sveobuhvatnih strategija sigurnosti e-pošte koje uzimaju u obzir ranjivosti u internom rutiranju.