行業新聞與博客

美國聯邦調查局警告稱，一種名為 Kali365 的新型網絡釣魚即服務 (PhaaS) 平台正在網絡上傳播，主要通過 Telegram 進行傳播。

Kali365 於 2026 年 4 月首次被發現，它為網絡威脅行為者提供 AI 生成的網絡釣魚誘餌、自動化活動模板以及實時定向的個人和實體跟蹤儀表板。

它還使技術水平較低的人員能夠捕獲 OAuth 令牌（Microsoft 365 訪問令牌），並在不攔截用户憑據的情況下繞過多因素身份驗證 (MFA) 協議。

通過 Kali365 平台訂閲，網絡威脅行為者可以獲得對目標個人 / 實體 Microsoft 365 環境的持續訪問權限。

Kali365 攻擊鏈

FBI 在 5 月 21 日發佈的一份諮詢文件中詳細描述了一個典型的攻擊鏈：攻擊者通過發送網絡釣魚電郵來發起詐騙，該電郵冒充可信的雲生產力和文檔共享服務。

這封電郵包含一個設備代碼，以及訪問微軟官方驗證頁面並輸入代碼的説明。

受害者訪問真正的微軟頁面並粘貼設備代碼，從而在不知情的情況下授權攻擊者的設備訪問他們的帳户。

攻擊者隨後獲取 OAuth 訪問令牌和刷新令牌，從而獲得對目標個人或實體 Microsoft 365 帳户的訪問權限。

有了這些令牌，攻擊者現在無需密碼或完成任何額外的 MFA 驗證即可訪問 Microsoft 365 服務，例如 Outlook 、 Teams 和 OneDrive，從而在被入侵的帳户中建立持久性。

緩解類似 Kali365 的威脅

為了降低成為利用 Kali365 進行網絡犯罪的攻擊目標的風險，FBI 建議採取以下措施：

• 限制設備代碼流以限制或阻止設備身份驗證代碼
• 創建條件訪問策略，阻止所有用户的設備代碼流，但允許必要的業務流程有有限的例外情況。
• 阻止身份驗證轉移策略，以防止用户將身份驗證從計算機轉移到移動設備。
• 排除緊急訪問賬户，以防止賬户被鎖定。