Phishing przez GitHub i Microsoft 365

TL;DR

Operation HookedWing pokazuje, że phishing może być cierpliwym, wieloletnim procesem, a nie krótką falą wiadomości. Według SOCRadar kampania działała od 2022 roku, objęła ponad 500 organizacji i doprowadziła do przechwycenia ponad 2000 poświadczeń. Wśród dotkniętych sektorów wskazano między innymi lotnictwo, administrację publiczną, energię, infrastrukturę krytyczną, logistykę i duże firmy technologiczne.

Najważniejsza lekcja nie dotyczy jednej domeny. Dotyczy wzorca: legalna platforma jako pośrednik, przekierowania, motyw Microsoft lub Outlook, personalizowana strona pod organizację ofiary i formularz kradnący dane logowania. To phishing tożsamościowy, w którym celem jest konto firmowe, sesja, poczta, dokumenty i dalsze działania po logowaniu.

Dla polskich firm taki scenariusz jest bardzo realny. Microsoft 365, Outlook, Teams, SharePoint, OneDrive i SSO są codziennym środowiskiem pracy. Jeśli użytkownik trafi na fałszywą stronę, która wygląda jak znany proces logowania, pojedyncze hasło może otworzyć drogę do skrzynki, plików, relacji biznesowych i kolejnych kampanii.

Długi phishing jest trudniejszy niż głośny phishing

Wiele organizacji reaguje na phishing wtedy, gdy kampania jest widoczna. Pojawia się fala wiadomości, blokada domeny, komunikat do użytkowników i szybka analiza. Operation HookedWing pokazuje inny model. Atak może działać latami, obracać infrastrukturą, zmieniać domeny, wykorzystywać skompromitowane serwery i zachowywać wspólny rdzeń techniczny.

To niewygodne dla obrony, bo blokowanie pojedynczych adresów nie wystarcza. Organizacja musi rozpoznawać wzorzec: skąd przychodzi pierwszy link, przez jakie przekierowania przechodzi użytkownik, jak wygląda landing page, czy pojawia się motyw Microsoft, czy strona personalizuje treść i co dzieje się po podaniu danych.

W praktyce oznacza to przejście od prostego pytania, czy domena jest zła, do bardziej użytecznego pytania: czy ścieżka prowadzi użytkownika do fałszywego procesu logowania. To szczególnie ważne przy phishingu, który zaczyna się od legalnych lub znanych platform.

GitHub jako warstwa wiarygodności

Jednym z elementów Operation HookedWing jest wykorzystanie GitHub i innych zaufanych albo skompromitowanych miejsc w infrastrukturze. Dla użytkownika link do GitHub wygląda inaczej niż losowa domena. Dla części organizacji GitHub jest normalnym narzędziem pracy, dlatego jego pełne blokowanie byłoby niepraktyczne.

Atakujący korzysta z tej dwuznaczności. Pierwszy link może wyglądać wiarygodnie, a dopiero kolejny etap prowadzi do fałszywego logowania. Problemem nie jest GitHub jako platforma. Problemem jest przeniesienie zaufania z platformy na proces, który atakujący pod nią podpiął.

Ten mechanizm dobrze pasuje do polskich organizacji, które korzystają z Microsoft 365, GitHub, Google, Dropbox, Jira, Vercel, SharePoint albo innych usług SaaS. Obrona nie może polegać wyłącznie na reputacji pierwszej domeny. Musi oceniać końcowy efekt i kontekst całej ścieżki.

Personalizacja przed formularzem

W kampanii opisanej przez SOCRadar pojawiały się strony symulujące logowanie do Outlooka i Microsoftu. Ważny był nie tylko wygląd formularza, ale też personalizacja. Strona mogła używać nazwy organizacji lub kontekstu ofiary, zanim poprosiła o login i hasło.

To działa psychologicznie. Użytkownik, który widzi znany motyw, nazwę firmy albo element pasujący do wcześniejszej wiadomości, ma poczucie ciągłości. Przechodzi z maila do strony i dalej do formularza, zamiast zatrzymać się i sprawdzić adres.

Właśnie dlatego nie należy oceniać phishingu wyłącznie po jakości grafiki. Dobrze zrobiona strona nie musi być idealna. Wystarczy, że przez kilka sekund wygląda jak naturalne przedłużenie pracy użytkownika.

Dlaczego Microsoft 365 jest tak atrakcyjny

Credential phishing oznacza phishing nastawiony na kradzież danych logowania. W środowisku Microsoft 365 takie dane mogą mieć ogromną wartość. Konto może dać dostęp do poczty, Teams, SharePoint, OneDrive, kalendarza, kontaktów, dokumentów i aplikacji połączonych przez SSO.

SSO, czyli single sign-on, oznacza logowanie jednokrotne do wielu usług. Dla użytkownika to wygoda. Dla atakującego przejęcie takiego konta może być skrótem do wielu zasobów naraz. Po udanym logowaniu przestępca może analizować pocztę, ustawiać reguły skrzynki, szukać faktur, rozpoznawać relacje biznesowe, wysyłać kolejne wiadomości albo przygotowywać BEC, czyli business email compromise.

MFA, czyli wieloskładnikowe uwierzytelnianie, pozostaje konieczne, ale nie kończy problemu. Przy atakach tożsamościowych trzeba monitorować także aktywne sesje, tokeny, urządzenia, lokalizacje, user agent, reguły pocztowe, zgody OAuth i działania po logowaniu.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik tylko kliknął link, ale nie podał danych, należy zgłosić wiadomość do IT lub SOC i zachować oryginalny e-mail. Zespół techniczny powinien sprawdzić linki, przekierowania, nagłówki, dostarczenie podobnych wiadomości do innych skrzynek i ewentualne logi proxy lub DNS.

Jeżeli użytkownik podał login i hasło, trzeba natychmiast zmienić hasło w oficjalnym systemie, unieważnić aktywne sesje i sprawdzić historię logowań. Sama zmiana hasła może być niewystarczająca, jeśli aktywna sesja lub token pozostały ważne.

Jeżeli użytkownik zatwierdził MFA, wpisał kod albo przechwycono sesję, reakcja powinna objąć reset sesji, kontrolę metod MFA, usunięcie podejrzanych urządzeń, sprawdzenie zgód OAuth, reguł pocztowych, przekierowań, delegacji, dostępu do plików i wiadomości wysłanych po incydencie.

Jeżeli konto zostało użyte do wysłania kolejnego phishingu, trzeba centralnie usunąć wiadomości z innych skrzynek, ostrzec odbiorców, zablokować domeny i ustalić, jakie dane lub relacje biznesowe zostały wykorzystane.

Co powinien monitorować SOC

SOC powinien wykrywać nie tylko domeny, ale także zachowania. Ważne są logowania z nowych lokalizacji, nietypowy user agent, nowe urządzenia, zmiana metod MFA, reguły pocztowe ukrywające wiadomości, automatyczne przekierowania, masowe pobieranie poczty, nietypowy dostęp do plików i zgody OAuth dla nieznanych aplikacji.

Przy kampaniach podobnych do HookedWing warto analizować łańcuch przekierowań. Pierwsza domena może wyglądać neutralnie, ale końcowa strona logowania już nie. Dobrze działa korelacja danych z poczty, proxy, DNS, EDR, Microsoft Entra ID, CASB i SIEM.

Warto też uczyć helpdesk, że zgłoszenie typu wpisałem hasło na stronie Microsoft z maila nie jest zwykłym błędem użytkownika. To potencjalny incydent tożsamościowy, który wymaga szybkiej reakcji.

Jak ćwiczyć ten scenariusz w awareness

Operation HookedWing jest dobrym materiałem do ćwiczeń, bo pokazuje phishing zaufanej ścieżki. Użytkownik nie widzi od razu dziwnej domeny. Może przejść przez znaną platformę, zobaczyć motyw Microsoft i dopiero wtedy trafić do formularza.

W testach phishingowych dla firm taki scenariusz pozwala mierzyć nie tylko kliknięcie. Ważne jest, czy użytkownik zatrzymał się przed formularzem, czy sprawdził adres, czy zgłosił wiadomość, czy podał dane, czy zatwierdził MFA i czy organizacja umiała szybko unieważnić sesje.

Dobry test powinien obejmować także zespół IT lub SOC. Symulacja, która kończy się na raporcie kliknięć, nie pokazuje pełnej odporności. Trzeba sprawdzić, czy organizacja potrafi wykryć próbę, zareagować na zgłoszenie i ocenić skutki po podaniu danych.

Wniosek

Operation HookedWing pokazuje, że nowoczesny phishing to nie tylko fałszywa strona. To infrastruktura, przekierowania, zaufane platformy, personalizacja i dalsze działania po przejęciu konta. Im bardziej proces przypomina codzienną pracę, tym większe ryzyko, że użytkownik przejdzie przez niego automatycznie.

Praktyczna zasada dla organizacji jest jasna: nie wystarczy blokować pojedynczych domen. Trzeba rozpoznawać wzorce, chronić tożsamość, ćwiczyć zgłaszanie i mierzyć reakcję po podaniu danych. W phishingu Microsoft 365 kliknięcie jest dopiero początkiem. Prawdziwe ryzyko zaczyna się wtedy, gdy przejęte konto dostaje czas na działanie.