Sofisticirana kampanja za slanje lažnih mejlova pogađa više od 70 organizacija iskorištavajući funkciju Direct Send u Microsoft 365. Ovaj novi metod napada omogućava sajber kriminalcima da falsifikuju identitet internih korisnika i isporučuju fišing poruke bez potrebe za kompromitovanjem naloga, zaobilazeći tradicionalne bezbjednosne kontrole elektronske pošte koje obično nadziru spoljnu komunikaciju. Kampanja je započela u maju 2025. godine i pokazuje konstantnu aktivnost tokom posljednja dva mjeseca, pretežno ciljajući organizacije sa sjedištem u SAD-u u različitim sektorima i lokacijama. Posebno zabrinjava iskorištavanje manje poznate funkcije Microsofta 365, namijenjene legitimnoj internoj komunikaciji, ali kojoj nedostaju odgovarajuće sigurnosne zaštite za provjeru autentičnosti. U ovim napadima, sajber kriminalci koriste Direct Send funkcionalnost kako bi ciljali pojedinačne organizacije sa fišing porukama koje prolaze znatno manje provjere u poređenju sa standardnom dolaznom poštom. Napadi su povezani zajedničkim pristupima, uključujući slične naslove mejlova, IP adrese pošiljaoca i vektore napada.
Direct Send je funkcija u Exchange Online namijenjena omogućavanju internim uređajima poput štampača i aplikacija da šalju mejlove unutar Microsoft 365 okruženja bez potrebe za provjerom autentičnosti. Funkcija koristi pametni host sa predvidljivim formatom: `tenantname.mail.protection.outlook.com`. Ključni sigurnosni propust leži u potpunom odsustvu zahtjeva za provjeru autentičnosti. Sajber kriminalcima su potrebni samo javno dostupni podaci za izvršavanje svojih kampanja: domen ciljne organizacije i važeće adrese primalaca. Ove informacije se često lako dobijaju putem društvenih mreža, javnih izvora ili prethodnih curenja podataka. Proces napada je iznenađujuće jednostavan. Jednom kada sajber kriminalci identifikuju domen i važeće primaoce, mogu slati falsifikovane mejlove koji izgledaju kao da potiču iznutra organizacije, a da nikada ne pristupe nalogu ili okruženju. Ova jednostavnost čini Direct Send privlačnim vektorom sa niskim naporom za sofisticirane fišing kampanje. Forenzički tim je zabilježio korištenje PowerShell komandi za slanje falsifikovanih mejlova putem pametnog hosta. Ovi mejlovi izgledaju kao da dolaze od legitimnih internih adresa, iako ih šalju neautentifikovani spoljni akteri. Metoda je efikasna iz više razloga: nisu potrebni podaci za prijavu, pametni host prihvata mejlove od bilo kojeg spoljnog izvora, a adresa pošiljaoca može biti falsifikovana da izgleda kao da potiče od bilo kojeg internog korisnika. Budući da ovi mejlovi prolaze kroz Microsoftovu infrastrukturu i izgledaju kao da potiču iznutra okruženja, mogu zaobići kako Microsoftove mehanizme filtriranja, tako i sigurnosna rješenja trećih strana koja se oslanjaju na reputaciju pošiljaoca i rezultate provjere autentičnosti.
Istraživači Varonisa identifikovali su specifične obrasce ponašanja koji ukazuju na zloupotrebu Direct Send-a. U jednom značajnom slučaju, upozorenja su se aktivirala zbog aktivnosti sa ukrajinske IP adrese, što je neočekivana lokacija za pogođeno okruženje. Za razliku od tipičnih upozorenja o geolokaciji praćenih pokušajima prijave, ovi incidenti su pokazali samo aktivnost e-pošte bez događaja prijave. Ključni pokazatelji za otkrivanje uključuju mejlove poslane od korisnika samima sebi, PowerShell ili komandno-linijske korisničke agente u zaglavljima poruka, neobične IP adrese sa VPN-ova ili stranih geolokacija i sumnjive privitke. Analiza zaglavlja poruka otkriva spoljne IP adrese poslate pametnim hostovima, neuspjehe provjere autentičnosti u SPF-u, DKIM-u ili DMARC-u za interne domene i neslaganja u identifikatorima okruženja. Ova kampanja naglašava kritičnu slijepu tačku u sigurnosnoj arhitekturi Microsofta 365. Organizacije moraju implementirati dodatne mehanizme nadzora i detekcije kako bi identifikovale zloupotrebu Direct Send-a, istovremeno podržavajući legitimne slučaje upotrebe poput automatskih obavještenja i integracija trećih strana. Ovo otkriće podcrtava važnost sveobuhvatnih strategija sigurnosti elektronske pošte koje uzimaju u obzir ranjivosti internog rutiranja.
