Deep Scan模组会执行深度扫描,发现网际网路上的公开Copilot Studio资源,其使用了Copilot Studio和Power Platform的内建机制,以及诸如FFUF和Puppeteer等工具,来辨识可能存在配置错误和暴露于组织外部的资源。而Enum模组则会利用Platform API子网域名来撷取环境ID和租户ID,而这些ID将作为其他扫描模组提供基础资料,向后续分析和漏洞扫描提供参照资料。
而LOLCopilot则是一款专为模拟攻击设计的工具,透过Copilot收集敏感资料来进行针对性攻击。与LOLCopilot相关的模组包括Whoami,可收集受感染使用者能够存取的敏感资讯,包括电子邮件、档案、行程安排等,全面了解使用者的存取权限,随后使用Dump模组撷取和储存这些资料,并利用Copilot绕过DLP技术,使敏感资料泄漏不被系统侦测的情况。
LOLCopilot的Spearphishing模组则会针对最近与受害者有互动过的合作伙伴,生成高度客制化的钓鱼邮件,试图引诱他们执行不安全的操作,这些攻击策略因为高度模仿受害者的写作风格,致使攻击更加难以被目标辨识。