Security

AiTM phishing kampanja cilja Microsoft 365 korisnike

3 min čitanja

Sažetak

Microsoft je opisao phishing kampanju velikih razmera tipa adversary-in-the-middle (AiTM) koja je koristila lažne istrage o kodeksu ponašanja za krađu tokena za autentifikaciju. Napad je kombinovao uverljiv social engineering, postepene CAPTCHA stranice i legitimni Microsoft tok prijave, naglašavajući zašto su zaštite otporne na phishing i jača bezbednost e-pošte važne.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Microsoft je otkrio sofisticiranu phishing kampanju koja je ciljala više od 35.000 korisnika u preko 13.000 organizacija u 26 zemalja. Za Microsoft 365 i bezbednosne administratore ovo je važno zato što je napad koristio tehniku adversary-in-the-middle (AiTM) za preuzimanje tokena za autentifikaciju, što može zaobići MFA koji nije otporan na phishing i napadačima dati trenutni pristup nalozima.

Šta je novo

Između 14. i 16. aprila 2026, Microsoft je uočio višefaznu phishing operaciju koja je koristila mamce povezane sa kodeksom ponašanja i internom usklađenošću. Poruke su bile osmišljene tako da izgledaju kao legitimne interne komunikacije i slane su kao autentifikovani emailovi sa domena pod kontrolom napadača putem legitimne usluge za isporuku e-pošte.

Ključne karakteristike kampanje uključivale su:

  • Uverljive email poruke na temu usklađenosti sa hitnim naslovima o nedoličnom ponašanju zaposlenih ili slučajevima neusaglašenosti
  • PDF priloge koji su upućivali primaoce da pregledaju materijale slučaja
  • Više postepenih stranica uključujući CAPTCHA provere i posredne korake „verifikacije“
  • Završni Microsoft prompt za prijavu ugrađen u AiTM tok radi presretanja tokena sesije
  • Širok uticaj u različitim industrijama, posebno Healthcare, Financial Services, Professional Services i Technology

Microsoft je naveo da je većina žrtava bila u Sjedinjenim Državama, ali da je kampanja pogodila organizacije širom sveta.

Zašto je ovaj napad značajan

Za razliku od osnovnog phishinga za krađu akreditiva, AiTM napadi posreduju autentifikacionu sesiju u realnom vremenu. To znači da čak i kada korisnici završe MFA, napadači i dalje mogu preuzeti tokene i ponovo ih iskoristiti za pristup nalozima.

Ova kampanja takođe pokazuje kako se phishing taktike razvijaju:

  • Napadači su koristili HTML šablone u enterprise stilu kako bi povećali kredibilitet
  • Iskoristili su vremenski pritisak i optužbe u HR stilu da podstaknu brzu reakciju
  • CAPTCHA i postepene stranice pomogle su u filtriranju automatizovane bezbednosne analize
  • Završni tok prijave izgledao je dovoljno legitimno da smanji sumnju korisnika

Uticaj na IT administratore

Bezbednosni timovi treba da ovo shvate kao podsetnik da svest korisnika sama po sebi nije dovoljna. Organizacijama su potrebne slojevite odbrane kroz zaštitu e-pošte, identiteta, endpoint uređaja i weba.

Administratori treba da pregledaju:

  • Konfiguracije za Exchange Online Protection i Microsoft Defender for Office 365
  • Anti-phishing smernice i zaštitu od impersonation napada
  • Podršku za SmartScreen u upravljanim pregledačima
  • Network protection u Windows za blokiranje zlonamernih web odredišta
  • Pokrivenost detekcije i odgovora za sumnjive aktivnosti prijave i zloupotrebu tokena

Preporučeni sledeći koraci

IT timovi treba da preduzmu sledeće korake:

  1. Edukujte korisnike o phishing mamcima vezanim za HR, usklađenost i regulativu
  2. Sprovedite phishing simulacije uz Microsoft Defender for Office 365 attack simulation training
  3. Ojačajte podešavanja bezbednosti e-pošte i pregledajte preporuke smernica u Microsoft security portalu
  4. Dajte prioritet autentifikaciji otpornoj na phishing gde god je to moguće
  5. Tražite indikatore kompromitovanja i istražite neuobičajeno ponašanje sesija povezano sa događajima prijave

Ova kampanja potvrđuje ključnu bezbednosnu lekciju: moderni phishing više nije samo pitanje lozinki. Odbrana od krađe tokena zahteva snažniju zaštitu identiteta, bolju bezbednost e-pošte i kontinuiranu edukaciju korisnika.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team and Microsoft Threat Intelligence
AiTM phishingMicrosoft 365 securitytoken theftMicrosoft Defender for Office 365phishing campaign

Povezani članci

Security

ClickFix macOS kampanja isporučuje infostealere

Microsoft je identifikovao novu ClickFix kampanju u stilu ClickFix koja cilja macOS korisnike lažnim uputstvima za rešavanje problema i instalaciju alata, objavljenim na blogovima i platformama za sadržaj. Umesto preuzimanja aplikacija, žrtve se navode da pokrenu Terminal komande koje zaobilaze uobičajene macOS provere aplikacija i isporučuju infostealere kao što su Macsync, SHub Stealer i AMOS.

Security

CVE-2026-31431 Linux ranjivost objašnjena

Microsoft je objavio detalje o CVE-2026-31431, Linux local privilege escalation ranjivosti visokog nivoa ozbiljnosti koja može omogućiti root pristup na glavnim distribucijama i cloud-hosted workload-ima. Problem je važan jer pogađa okruženja sa deljenim kernelom, kao što su kontejneri i Kubernetes, čime se povećava rizik od container escape, lateral movement i kompromitacije hosta ako se sistemi brzo ne zakrpe.

Security

Microsoft Agent 365 GA donosi AI bezbednosne kontrole

Microsoft Agent 365 je sada opšte dostupan za komercijalne korisnike, pružajući IT i bezbednosnim timovima objedinjenu kontrolnu ravan za nadzor, upravljanje i zaštitu AI agenata u okviru Microsoft 365, endpoint uređaja i cloud okruženja. Nove preview mogućnosti dodatno proširuju vidljivost na shadow AI, lokalne Windows agente, multicloud platformske agente i kontrole zasnovane na smernicama kroz Defender i Intune.

Security

Email pretnje Q1 2026: ključni Microsoft uvidi

Microsoft navodi da je u Q1 2026 otkriveno 8,3 milijarde phishing email poruka, dok se QR code phishing više nego udvostručio, a CAPTCHA-gated kampanje brzo evoluiraju. Ovi nalazi su važni za bezbednosne timove jer se napadači sve više okreću krađi kredencijala putem linkova, dok akcije protiv Tycoon2FA pokazuju da koordinisano ometanje može smanjiti uticaj phishinga.

Security

{{Microsoft Security novosti za Agent 365 i Defender}}

Microsoft je najavio nove bezbednosne mogućnosti u okviru Agent 365, Defender for Cloud, GitHub Advanced Security i Microsoft Purview. Ažuriranja su usmerena na bolju vidljivost aktivnosti AI agenata, jačanje zaštite od koda do runtime okruženja i ubrzavanje istraga bezbednosti podataka za bezbednosne i IT timove.

Security

CISO revizije rizika: 8 Microsoft bezbednosnih praksi

Microsoft je objavio praktičan okvir za CISO-e i bezbednosne lidere kako bi sprovodili efikasnije revizije rizika usred porasta sajber pretnji omogućenih AI-jem. Smernice su fokusirane na osam oblasti pregleda — od sredstava i aplikacija do autentifikacije, autorizacije i izolacije mreže — kako bi organizacijama pomogle da pređu sa reaktivnog odgovora na proaktivno smanjenje rizika.