Nowy phishing coraz częściej nie próbuje już tylko wyglądać wiarygodnie. Coraz częściej korzysta z kanałów, które sąwiarygodne. I właśnie dlatego przypadek Azure Monitor jest tak ciekawy. Tu nie chodzi o fałszywy mail wysłany z podejrzanej domeny. Chodzi o nadużycie legalnego mechanizmu alertów Microsoftu, przez który wiadomości trafiają do ofiar z prawdziwego adresu azure-noreply@microsoft.com i wyglądają jak normalne, systemowe powiadomienia.
To ważna zmiana. W klasycznym phishingu atakujący zwykle musi najpierw zbudować wiarygodność: dobra domena, odpowiedni branding, poprawny język, przekonujący pretekst. W kampanii wykorzystującej Azure Monitor część tej pracy wykonuje za niego sama platforma. Microsoft Learn opisuje, że Azure Monitor pozwala tworzyć alerty i przypisywać do nich action groups, czyli zestawy powiadomień i akcji, obejmujące m.in. e-mail, SMS, połączenia głosowe, push i webhooki. W praktyce oznacza to, że system potrafi legalnie i automatycznie rozesłać komunikat do wskazanych odbiorców.
I właśnie to zostało wykorzystane. Według BleepingComputer oraz przywołanego przez The Hacker News opisu LevelBlue, atakujący tworzą złośliwe reguły alertów Azure Monitor, umieszczają w ich treści przynętę dotyczącą rzekomych płatności lub nieautoryzowanych obciążeń, dodają numer telefonu kontrolowany przez siebie, a następnie przypisują ofiary do action group powiązanej z alertem. W efekcie sama platforma Azure wysyła phishingową wiadomość z legalnego adresu Microsoftu.
To właśnie czyni ten case tak ważnym. Nie dlatego, że callback phishing jest czymś nowym. Nie jest. Nowe jest to, że phishing nie musi już udawać systemu alarmowego — może wejść do jego wnętrza. BleepingComputer opisał, że kampania budowała presję pilności przez informację o rzekomym obciążeniu na 389 dolarów za Windows Defender, zachęcając odbiorców do zadzwonienia pod wskazany numer. Tego typu kampanie callback phishingowe były już wcześniej wykorzystywane do kradzieży danych uwierzytelniających, wyłudzeń płatności albo nakłaniania ofiar do instalacji narzędzi zdalnego dostępu.
I tu dochodzimy do najciekawszego punktu. Technicznie rzecz biorąc, problemem nie jest sam e-mail. Problemem jest kanał, który niesie ten e-mail. Jeśli wiadomość przychodzi z prawdziwej infrastruktury Microsoftu, z prawdziwego adresu nadawcy i w formacie przypominającym normalny alert operacyjny, to atakujący nie musi już przekonywać odbiorcy, że „to wygląda legitnie”. Sam kanał robi dużą część tej roboty za niego. Microsoft Learn potwierdza, że action groups są oficjalnym mechanizmem służącym właśnie do definiowania, kto zostaje powiadomiony i jakie działania są wykonywane po uruchomieniu alertu.
To bardzo dobrze spina się z Twoją wcześniejszą linią o Teams. Tam chodziło o to, że legalne narzędzie komunikacyjne może zostać wykorzystane jako wektor ataku właśnie dlatego, że użytkownicy traktują je jako część normalnej pracy. Tutaj logika jest identyczna, tylko nośnik jest inny. Nie komunikator, lecz systemowy kanał alertów. Nie „helpdesk”, lecz „panel alarmowy”. W obu przypadkach atak nie wygrywa dlatego, że jest wyjątkowo sprytny technicznie. Wygrywa dlatego, że wygląda jak element legalnego procesu.
To prowadzi do większego wniosku o współczesnym phishingu. Coraz częściej nie jest to już tylko sztuka podszywania się pod markę. Coraz częściej jest to sztuka nadużycia zaufanego interfejsu. Atakujący nie muszą budować całej scenografii od zera, jeśli uda im się wejść w legalny workflow, platformę albo mechanizm notyfikacji. W takim modelu ofiara nie reaguje na „dziwną wiadomość”. Reaguje na coś, co wygląda jak rutynowe ostrzeżenie z systemu, którego używa albo kojarzy jako wiarygodny.
Właśnie dlatego Azure Monitor jest tak ciekawym case’em dla security. Pokazuje, że problemem nie jest już wyłącznie zawartość wiadomości, ale też architektura zaufania, która tę wiadomość dostarcza. Jeżeli legalna platforma może zostać wykorzystana do wysłania przynęty, to klasyczne pytanie „czy domena jest prawdziwa?” przestaje wystarczać. Domena może być prawdziwa. Nadawca może być prawdziwy. Interfejs może być prawdziwy. A mimo to intencja może być w pełni złośliwa.
To zresztą dobrze tłumaczy, dlaczego takie kampanie są niebezpieczne również dla organizacji, a nie tylko dla użytkowników indywidualnych. BleepingComputer zwrócił uwagę, że wiadomości mają bardziej „korporacyjny” charakter niż typowe przynęty konsumenckie, co może sugerować próbę uzyskania initial access do środowisk firmowych pod kolejne działania. Jeśli ofiara zadzwoni, rozmowa może stać się początkiem socjotechnicznego łańcucha: od wyłudzenia danych, przez instalację RMM, po przejęcie stacji roboczej.
I tu warto postawić sprawę jasno: Azure Monitor nie jest „winny” w prostym sensie. Microsoft Learn opisuje action groups jako legalny i wielokrotnego użytku mechanizm notyfikacji oraz automatyzacji alertów. Problem polega na tym, że każdy zaufany mechanizm powiadomień staje się potencjalnym nośnikiem nadużycia, jeśli atakujący znajdzie sposób, by użyć go do własnych celów. To nie jest więc historia o „złym produkcie”. To historia o tym, że legalny kanał może zostać użyty do złośliwej intencji.
Najciekawsza lekcja z tego case’u brzmi więc tak: nowoczesny phishing coraz częściej nie imituje zaufania z zewnątrz. On korzysta z zaufania już wbudowanego w platformę. I właśnie dlatego Azure Monitor tak dobrze wpisuje się w szerszy wzór, który widać dziś także w Teams, SharePoint, CI/CD czy agentach AI. Nie chodzi już tylko o złośliwy plik, fałszywy link czy podrobioną domenę. Coraz częściej chodzi o legalny interfejs, który został przejęty jako nośnik cudzej intencji.
Podsumowanie
Azure Monitor pokazuje coś bardzo ważnego:
problemem nie jest wyłącznie to, co mówi wiadomość,
ale także kto i jak tę wiadomość dostarcza.
Jeśli Teams może stać się helpdeskiem dla przestępców,
to Azure Monitor może stać się ich panelem alarmowym.
Zmienia się interfejs.
Wzór zostaje ten sam.
Źródła
- BleepingComputer — Microsoft Azure Monitor alerts abused for callback phishing attacks. Opis kampanii wykorzystującej alerty Azure Monitor do callback phishingu z użyciem prawdziwego adresu azure-noreply@microsoft.com.
- Microsoft Learn — Create and manage action groups in Azure Monitor. Oficjalna dokumentacja opisująca action groups jako mechanizm notyfikacji i akcji dla alertów Azure Monitor.
- Microsoft Learn — Tworzenie grup akcji i zarządzanie nimi w usłudze Azure Monitor. Polska wersja dokumentacji potwierdzająca sposób działania grup akcji, ich współbieżne wykonywanie i użycie do powiadomień e-mail.
- The Hacker News — Microsoft Warns IRS Phishing Hits 29,000 Users, Deploys RMM Malware. Zawiera streszczenie ustaleń LevelBlue o nadużywaniu Azure Monitor alert notifications do callback phishingu.
