Otkrivena je napredna kampanja fišinga koja pogađa preko 70 organizacija iskorištavanjem funkcije Direct Send unutar Microsoft 365. Ova nova metoda napada omogućava sajber kriminalcima da lažno predstavljaju interne korisnike i šalju fišing poruke bez potrebe za kompromitovanjem naloga, čime se zaobilaze tradicionalne kontrole sigurnosti e-pošte koje obično provjeravaju spoljne komunikacije. Kampanja, koja je započela u maju 2025. godine i pokazala je konzistentnu aktivnost tokom protekla dva mjeseca, uglavnom cilja organizacije sa sjedištem u SAD-u, obuhvatajući različite sektore i lokacije. Ono što ovaj napad čini posebno zabrinjavajućim jeste iskorištavanje manje poznate funkcije Microsofta 365, koja je prvobitno dizajnirana za legitimne interne komunikacije, ali kojoj nedostaju adekvatni sigurnosni mehanizmi za autentifikaciju. U ovim napadima, sajber kriminalci koriste Direct Send funkcionalnost Microsofta 365 kako bi ciljali pojedinačne organizacije fišing porukama koje prolaze kroz znatno manje provjere u poređenju sa standardnom dolaznom e-poštom. Napadi su povezani zajedničkim karakteristikama pristupa, uključujući slične naslove e-pošte, IP adrese pošiljaoca i vektore napada.
Direct Send je funkcija u Exchange Online koja omogućava internim uređajima, poput štampača i aplikacija, slanje e-pošte unutar Microsoft 365 zakupca bez potrebe za autentifikacijom. Ova funkcija koristi pametni host sa predvidivim formatom: `nazivzakupca.mail.protection.outlook.com`. Ključni sigurnosni propust leži u potpunom odsustvu zahtjeva za autentifikacijom. Napadačima je potrebno samo nekoliko javno dostupnih detalja za izvršenje svojih kampanja: domen ciljane organizacije i važeće adrese primalaca. Ove informacije se često lako mogu pribaviti putem društvenih mreža, javnih izvora ili prethodnih curenja podataka. Proces napada je izuzetno jednostavan. Jednom kada sajber kriminalci identifikuju domen i važeće primaoce, mogu slati lažne e-poruke koje izgledaju kao da potiču iznutra organizacije, a da se nikada ne uloguju niti pristupe zakupcu. Ova jednostavnost čini Direct Send atraktivnim vektorom, sa malo uloženog truda, za sofisticirane fišing kampanje.
Forezničari su primijetili da napadači koriste PowerShell komande za slanje lažnih e-poruka putem pametnog hosta. Ove poruke izgledaju kao da dolaze od legitimnih internih adresa, iako su poslate od neautentifikovanih spoljnih aktera. Metoda je efikasna iz nekoliko razloga: nisu potrebni podaci za prijavljivanje, pametni host prihvata e-poruke iz bilo kog spoljnog izvora, a “Od” adresa se može falsifikovati na bilo kojeg internog korisnika. Budući da ove poruke prolaze kroz Microsoftovu infrastrukturu i izgledaju kao da potiču iz zakupca, mogu zaobići kako Microsoftove sopstvene mehanizme filtriranja, tako i rešenja za sigurnost e-pošte trećih strana koja se oslanjaju na reputaciju pošiljaoca i rezultate autentifikacije.
Istraživači iz Varonisa identifikovali su specifične obrasce ponašanja koji ukazuju na zloupotrebu Direct Send-a. U jednom značajnom slučaju, upozorenja su se aktivirala uslijed aktivnosti sa ukrajinske IP adrese, što je neočekivana lokacija za pogođeni zakupac. Za razliku od tipičnih upozorenja o geolokaciji koja su praćena pokušajima autentifikacije, ovi incidenti pokazali su samo aktivnost e-pošte bez događaja prijavljivanja. Ključni indikatori za detekciju uključuju e-poštu poslatu od korisnika samima sebi, korisničke agente poput PowerShell ili komandne linije u zaglavljima poruka, neobične IP adrese iz VPN-ova ili stranih geolokacija, te sumnjive privitke.
Analiza zaglavlja poruka otkriva spoljne IP adrese poslate pametnim hostovima, neuspjehe autentifikacije u SPF, DKIM ili DMARC za interne domene, te neusklađenosti u ID-ovima zakupaca. Ova kampanja naglašava kritičnu slijepu tačku u sigurnosnoj arhitekturi Microsofta 365. Organizacije moraju implementirati dodatne mehanizme praćenja i detekcije kako bi identifikovale zloupotrebe Direct Send-a, istovremeno održavajući legitimne slučaje upotrebe poput automatskih obavještenja i integracija trećih strana. Ovo otkriće podvlači važnost sveobuhvatnih strategija sigurnosti e-pošte koje uzimaju u obzir ranjivosti internog rutiranja.
