Uočena je sofisticirana fišing kampanja koja pogađa više od 70 organizacija iskorištavanjem funkcije Direct Send u Microsoft 365. Ovaj novi metod napada omogućava sajber kriminalcima da kreiraju lažne interne pošiljatelje i dostavljaju fišing poruke bez potrebe za kompromitovanjem korisničkog naloga, čime zaobilaze uobičajene sigurnosne kontrole koje obično provjeravaju vanjske komunikacije. Kampanja, koja je započela u maju 2025. godine i pokazuje kontinuiranu aktivnost tokom protekla dva mjeseca, pretežno cilja organizacije sa sjedištem u SAD-u, obuhvatajući različite sektore i lokacije. Ono što ovu akciju čini posebno zabrinjavajućom jeste iskorištavanje manje poznate funkcije Microsofta 365, koja je prvobitno dizajnirana za legitimne interne komunikacije, ali joj nedostaju adekvatne zaštite za provjeru autentičnosti. U ovim napadima, sajber kriminalci koriste funkcionalnost Direct Send u sklopu Microsofta 365 kako bi ciljali pojedinačne organizacije sa fišing porukama koje prolaze znatno manje provjere u poređenju sa standardnim dolaznim e-porukama. Napadi su povezani zajedničkim pristupima, uključujući slične naslove e-pošte, IP adrese pošiljatelja i vektore napada.
Funkcija Direct Send u servisu Exchange Online omogućava internim uređajima, poput štampača i aplikacija, slanje e-poruka unutar Microsoft 365 okruženja bez potrebe za provjerom autentičnosti. Ova funkcija koristi pametni host predvidljivog formata: `naziv_tenant-a.mail.protection.outlook.com`. Ključni sigurnosni propust leži u potpunom odsustvu zahtjeva za provjeru autentičnosti. Sajber kriminalcima su dovoljni samo javno dostupni podaci za izvršenje svojih kampanja: domen ciljne organizacije i validne adrese primalaca. Ove informacije se često lako pribavljaju putem društvenih mreža, javnih izvora ili prethodnih povreda podataka. Proces napada je iznenađujuće jednostavan. Nakon što sajber kriminalci identifikuju domen i važeće primaoce, mogu slati lažirane e-poruke koje se čine da potiču iz organizacije, a da pritom nikada ne pristupe samom okruženju. Ova jednostavnost čini Direct Send atraktivnim vektorom za sofisticirane fišing kampanje sa niskim ulaganjem truda. Tim za forenziku je primijetio da napadači koriste PowerShell komande za slanje lažiranih e-poruka putem pametnog hosta. Ove poruke se prikazuju kao da dolaze od legitimnih internih adresa, uprkos tome što ih šalju neautentifikovani eksterni akteri. Metoda je efikasna iz više razloga: ne zahtijevaju se akreditivi za prijavu, pametni host prihvata e-poštu iz bilo kojeg eksternog izvora, a adresa pošiljatelja se može lažirati na bilo kojeg internog korisnika. S obzirom da ove poruke prolaze kroz Microsoftovu infrastrukturu i izgledaju kao da potiču unutar okruženja, mogu zaobići kako Microsoftove mehanizme filtriranja, tako i rješenja za sigurnost e-pošte trećih strana koja se oslanjaju na reputaciju pošiljatelja i rezultate provjere autentičnosti.
Istraživači iz kompanije Varonis identifikovali su specifične obrasce ponašanja koji signaliziraju zloupotrebu Direct Send funkcije. U jednom zapaženom slučaju, upozorenja su bila pokrenuta aktivnošću sa IP adrese iz Ukrajine, što je neočekivana lokacija za pogođeno okruženje. Za razliku od tipičnih upozorenja o geolokaciji praćenih pokušajima prijave, ovi incidenti su pokazali samo aktivnost slanja e-pošte bez ikakvih događaja prijave. Ključni pokazatelji za otkrivanje uključuju e-poruke poslate od strane korisnika samima sebi, kao korisničke agente u zaglavljima poruka prepoznate kao PowerShell ili komandna linija, neobične IP adrese sa VPN-ova ili stranih geolokacija, te sumnjive priloge.
Indikatori kompromitacije (IoC) uključuju IP adrese poput 139.28.36[.]230 i druge iz raspona 139.28.X.X koje je sajber kriminalac koristio u ovoj kampanji za slanje e-pošte. Takođe su uočeni domeni `hxxps://voice-e091b.firebaseapp[.]com` i `hxxps://mv4lh.bsfff[.]es`. Subjekti e-poruka često sadrže fraze poput „Caller Left VM Message * Duration-XXXX for XXXX“, „Fax-msg mm/dd/yyyy, hh:mm:ss AM/PM (2 Pages) RefID: XXXX“, „New Missed Fax-msg“, „New Missed Fax-Msg (2 pages)“, „You have received a new (2 pages) *Fax-Msg* to email@****“, te „Fax Received: Attached document for review REF“. Nazivi priloga često uključuju riječi poput ‘Fax-msg’, ‘Caller left VM Message’ ili ‘Listen’. Analiza zaglavlja poruka otkriva eksterne IP adrese poslane pametnim hostovima, neuspjele provjere autentičnosti u SPF, DKIM ili DMARC za interne domene, te neusklađene identifikatore okruženja (tenant IDs). Ova kampanja ukazuje na ključnu slijepu tačku u sigurnosnoj arhitekturi Microsofta 365. Organizacije moraju implementirati dodatne mehanizme nadzora i otkrivanja kako bi identifikovale zloupotrebu Direct Send funkcije, istovremeno podržavajući legitimne slučaje upotrebe kao što su automatska obavještenja i integracije sa trećim stranama. Ovo otkriće naglašava važnost sveobuhvatnih strategija sigurnosti e-pošte koje uzimaju u obzir ranjivosti u internom usmjeravanju prometa.
