Sofisticirana kampanja za slanje fišing mejlova ugrozila je preko 70 organizacija iskorišćavanjem funkcije Direct Send u Microsoft 365.
Ovaj novi metod napada omogućava sajber kriminalcima da falsifikuju identitet internih korisnika i isporučuju fišing poruke, zaobilazeći tradicionalne bezbednosne mehanizme koji uglavnom proveravaju spoljnu elektronsku poštu, a sve to bez potrebe da kompromituju ikakav nalog.
Kampanja, koja je započela u maju 2025. godine, pokazala je konstantnu aktivnost tokom protekla dva mjeseca, a uglavnom cilja organizacije bazirane u SAD-u, obuhvatajući više sektora i lokacija.
Posebno zabrinjavajuća činjenica kod ovog napada jeste iskorištavanje manje poznate funkcije Microsoft 365 koja je prvobitno dizajnirana za legitimnu internu komunikaciju, ali joj nedostaju adekvatni sigurnosni protokoli za provjeru autentičnosti.
U ovim napadima, sajber kriminalci koriste funkciju Direct Send unutar Microsoft 365 kako bi ciljali pojedinačne organizacije sa fišing porukama koje prolaze kroz znatno manje provjere u poređenju sa uobičajenim dolaznim mejlovima.
Povezanost ovih napada uočava se kroz zajedničke karakteristike pristupa, uključujući slične naslove mejlova, IP adrese pošiljalaca i vektore napada.
**Razumijevanje ranjivosti Direct Send**
Direct Send predstavlja funkciju u servisu Exchange Online, namijenjenu tome da omogući internim uređajima, poput štampača i aplikacija, slanje mejlova unutar Microsoft 365 tenanta bez potrebe za autentifikacijom. Ova funkcionalnost koristi pametni host sa predvidljivim formatom: `tenantname.mail.protection.outlook.com`.
Ključni sigurnosni propust leži u potpunom odsustvu zahtjeva za provjeru autentičnosti. Napadačima su potrebni samo javno dostupni podaci da bi sproveli svoje kampanje: domen ciljane organizacije i validne adrese primalaca.
Ovi podaci se često lako pribavljaju putem društvenih mreža, javnih izvora ili ranijih curenja podataka.
Proces napada je iznenađujuće jednostavan. Nakon što sajber kriminalci identifikuju domen i važeće primaoce, mogu poslati lažirane mejlove koji izgledaju kao da potiču iz unutrašnjosti organizacije, a da pri tome nikada ne pristupe nalogu niti se uloguju u tenant. Ova jednostavnost čini Direct Send privlačnim i niskorazrednim vektorom za sofisticirane fišing kampanje.
Forenzički tim je primijetio da napadači koriste PowerShell komande za slanje lažiranih mejlova putem pametnog hosta. Ovi mejlovi izgledaju kao da dolaze od legitimnih internih adresa, iako ih šalju neautentifikovani spoljni akteri. Primjer takve PowerShell komande je:
“`powershell
Send-MailMessage -SmtpServer company-com.mail.protection.outlook.com -To joe@company.com -From joe@company.com -Subject “New Missed Fax-msg” -Body “You have received a call! Click on the link to listen to it. Listen Now” -BodyAsHtml
“`
Efikasnost ove metode proizlazi iz nekoliko faktora: nije potrebna prijava lozinkom, pametni host prihvata mejlove sa bilo kojeg eksternog izvora, a polje “Od” (From) može biti falsifikovano na bilo kojeg internog korisnika.
Budući da ovi mejlovi prolaze kroz Microsoftovu infrastrukturu i djeluju kao da potiču iz tenanta, mogu zaobići kako Microsoftove vlastite mehanizme filtriranja, tako i rješenja za sigurnost elektronske pošte trećih strana koja se oslanjaju na reputaciju pošiljaoca i rezultate provjere autentičnosti.
Istraživači iz kompanije Varonis identifikovali su specifične obrasce ponašanja koji ukazuju na zloupotrebu funkcije Direct Send. U jednom značajnom slučaju, upozorenja su aktivirana aktivnošću sa IP adrese iz Ukrajine, što je neuobičajena lokacija za pogođeni tenant. Za razliku od tipičnih upozorenja o geolokaciji praćenih pokušajima prijave, ovi incidenti su pokazali samo aktivnost slanja elektronske pošte bez događaja prijave. Ključni pokazatelji za detekciju uključuju mejlove poslate od strane korisnika samima sebi, korisničke agente poput PowerShell ili komandne linije u zaglavljima poruka, neobične IP adrese sa VPN-ova ili stranih geolokacija, kao i sumnjive privitke.
**Indikatori kompromitacije (IoC)**
* **IP Adrese:**
* 139.28.36\[.]230
* Sajber kriminalac je koristio više IP adresa iz opsega 139.28.X.X u ovoj kampanji za lansiranje mejlova.
* **Domeni:**
* hxxps://voice-e091b.firebaseapp\[.]com
* hxxps://mv4lh.bsfff\[.]es
* **Naslovi mejlova često sadrže:**
* “Caller Left VM Message * Duration-XXXX for XXXX”
* “Fax-msg mm/dd/yyyy, hh:mm:ss AM/PM (2 Pages) RefID: XXXX”
* “New Missed Fax-msg”
* “New Missed Fax-Msg (2 pages)”
* “You have received a new (2 pages) *Fax-Msg* to email@****”
* “Fax Received: Attached document for review REF”
* **Privitci mejlova:**
* Naziv datoteke često sadrži ‘Fax-msg’, ‘Caller left VM Message’ ili ‘Listen’.
Analiza zaglavlja poruka otkriva spoljne IP adrese poslate pametnim hostovima, neuspjehe autentifikacije u SPF, DKIM ili DMARC zapisima za interne domene, te neusklađenosti u identifikatorima tenanata.
Ova kampanja ukazuje na kritičnu slijepu tačku u sigurnosnoj arhitekturi Microsoft 365. Organizacije moraju implementirati dodatne mehanizme nadzora i detekcije kako bi identifikovale zloupotrebu Direct Send, istovremeno održavajući legitimne slučaje upotrebe, kao što su automatske obavijesti i integracije trećih strana. Ovo otkriće naglašava važnost sveobuhvatnih strategija sigurnosti elektronske pošte koje uzimaju u obzir ranjivosti u internom rutiranju.