Ataki phishingowe poprzez Direct Send w Microsoft 365
Zespół CSIRT CEZ ostrzega o aktywnej kampanii phishingowej wymierzonej w organizacje korzystające z Microsoft 365. Wykorzystuje ona podatność w funkcjonalności Direct Send dostępną w Exchange Online. Kampania ma na celu kradzież poświadczeń użytkowników poprzez spoofowanie, czyli podszywanie się pod zaufane źródło, w tym przypadku wewnętrzne wiadomości e-mail bez konieczności przejęcia kont organizacji.
Według analiz firmy Varonis, kampania od maja 2025 roku dotknęła już ponad 70 organizacji na całym świecie. Wykorzystywana technika pozwala atakującym na wysyłanie sfałszowanych wiadomości e-mail, które wyglądają jak wewnętrzna korespondencja, omijając przy tym tradycyjne mechanizmy ochrony poczty elektronicznej.
Warto podkreślić, że podatność dotyczy wyłącznie usługi chmurowej Microsoft 365 (Exchange Online) i nie ma zastosowania do instalacji Exchange Server działających w infrastrukturze lokalnej (on-premises).
W jaki sposób działają oszuści?
Cyberprzestępcy wykorzystują mało znaną funkcję Direct Send w Microsoft 365. Została pierwotnie stworzona z myślą o umożliwieniu urządzeniom w sieci wewnętrznej firmy (np. drukarkom) wysyłania wiadomości e-mail bez konieczności logowania się. Funkcja ta korzysta z tzw. smart hosta – adresu w formacie: nazwa-organizacji.mail.protection.outlook.com
W dostępnych analizach cyberprzestępcy zastosowali techniki manipulacji (tzw. inżynierii społecznej), aby nakłonić użytkowników do kliknięcia w niebezpieczne treści.
Najczęściej wykorzystywali do tego celu fałszywe powiadomienia o nowej wiadomości głosowej. Wiadomości te zawierały załączniki PDF z kodem QR. Po zeskanowaniu kodu użytkownik był przekierowywany na fałszywą stronę logowania, która wyglądała jak strona Microsoft 365. Celem było wyłudzenie loginu i hasła.
Na czym polega atak z użyciem Direct Send?
- Direct Send w Microsoft 365 pozwala na wysyłanie bez uwierzytelniania wiadomości e-mail, tylko do użytkowników wewnętrznych. To oznacza, że nie są wymagane dane logowania.
- Aby przeprowadzić atak, cyberprzestępca potrzebuje jedynie:
- Nazwy domeny organizacji (łatwo dostępnej publicznie),
- Prawidłowego adresu e-mail odbiorcy (można go zdobyć np. przez OSINT lub z wycieków danych),
- Formatu smart hosta (jest przewidywalny i łatwy do odgadnięcia).
Dzięki tym informacjom atakujący może wysyłać sfałszowane wiadomości e-mail, które wyglądają jak wewnętrzna korespondencja – mimo że nie loguje się do żadnego konta ani nie uzyskuje dostępu do systemu Microsoft 365.
Dlaczego te ataki są tak skuteczne?
- Nie wymaga logowania lub poświadczeń
- Smart host akceptuje e-maile z dowolnego zewnętrznego źródła
- Jedynym wymogiem jest to, aby odbiorca posiadał skrzynkę e-mail w firmowej usłudze Microsoft
- Można spoofować pole "From" na dowolnego wewnętrznego użytkownika
- Mechanizmy filtrowania Microsoft mogą traktować wiadomość jako ruch wewnętrzny
- Zewnętrzne rozwiązania bezpieczeństwa e-mail często polegają na reputacji nadawcy i wynikach uwierzytelniania
Działania zapobiegawcze
Wszystkim podmiotom, które używają Microsoft 365 rekomendujemy:
- Natychmiastowe wyłączenie funkcji Direct Send w Exchange Admin Center poprzez aktywację opcji "Reject Direct Send"
- Implementację ścisłej polityki DMARC (np. p=reject)
- Oznaczanie nieuwierzytelnionych wewnętrznych e-maili do analizy lub kwarantanny
- Wymuszenie "SPF hardfail" w ramach Exchange Online Protection (EOP)
- Skorzystanie z polityk anti-spoofingu dostępnych w Microsoft 365
- Wdrożenie statycznego adresu IP w rekordzie SPF DNS, aby zapobiec nadużyciom - zalecane przez Microsoft,
Podmiotom, które podejrzewają, że były celem ataku, rekomendujemy (poza powyższym):
- Analizę logów pod kątem nietypowych wzorców wysyłki e-maili (szczególnie e-maile wysyłane od użytkownika do samego siebie)
- Weryfikację aktywności na kontach użytkowników, którzy otrzymali podejrzane wiadomości
- Przegląd konfiguracji bezpieczeństwa Microsoft 365 zgodnie z najlepszymi praktykami
- Wzmożony monitoring dla wykrywania podobnych ataków w przyszłości
- Edukację użytkowników ze szczególną uwagą w zakresie:
- Weryfikacji nieoczekiwanych wiadomości wewnętrznych, szczególnie takich, które zawierają pilne prośby lub załączniki
- Ostrożności przy skanowaniu kodów QR w załącznikach e-mail (tzw. "quishing")
- Procedur weryfikacji tożsamości nadawcy w przypadku nietypowych próśb przesyłanych kanałami komunikacji elektronicznej (e-mail, sms)
- Natychmiastowego zgłaszania podejrzanych wiadomości do zespołów IT/bezpieczeństwa
Analiza techniczna
Przykładowe tematy wiadomości:
- "Caller Left VM Message * Duration-XXXX for XXXX"
- "New Missed Fax-msg"
- "You have received a new (2 pages) Fax-Msg"
Wzorce wykrywania
W nagłówkach podejrzanych e-maili zostały zidentyfikowane następujące wskaźniki wykorzystania Direct Send:
- Nagłówki "Received", które pokazują zewnętrzne adresy IP wysyłane do smart host
- Niepowodzenia w weryfikacji SPF, DKIM lub DMARC dla domen wewnętrznych
- Brak podpisów DKIM
- Wiadomości wysyłane od użytkownika do samego siebie
- PowerShell jako User-Agent
Przykładowa analiza nagłówków pokazująca wykorzystanie Direct Send:
Received: from [127.0.0.1] (139.28.36[.]230) by company.mail.protection.outlook.com
authentication-results: spf=softfail (sender IP is 139.28.36[.]230) smtp.mailfrom=company.com; dkim=none (message not signed) header.d=none;dmarc=fail action=oreject
Adresy IP wykorzystywane w kampanii:
- 139.28.36[.]230
- Różne adresy z zakresu 139.28.X.X
Domeny wykorzystywane przez atakujących:
- voice-e091b.firebaseapp[.]com
- mv4lh.bsfff[.]es
Wskaźniki techniczne w nagłówkach:
- Smart host routing przez *.mail.protection.outlook.com
- User-Agent: PowerShell
- E-maile wysyłane od użytkownika do samego siebie
- Niepowodzenia SPF/DKIM/DMARC dla domen wewnętrznych
Ważne! Pamiętaj, aby wszystkie incydenty zgłaszać do odpowiednich CSIRT-ów:
CSIRT CEZ - incydent [at] csirt.cez.gov.pl (incydent[at]csirt[dot]cez[dot]gov[dot]pl)