Злоумышленники проводят сложные атаки по захвату учетных записей пользователей Microsoft 365, создавая вредоносные OAuth-приложения, которые выдают себя за легитимные компании. Эти приложения используются в связке с продвинутыми фишинговыми наборами класса Phishing-as-a-Service (PhaaS), такими как Tycoon, для кражи учетных данных и обхода многофакторной аутентификации (MFA). Эта тактика является частью более широкой тенденции, в рамках которой киберпреступники применяют инновационные методы для получения первоначального доступа к корпоративным средам.

Кампания, впервые обнаруженная специалистами компании Proofpoint в начале 2025 года, нацелена на учетные записи Microsoft 365. Атака начинается с рассылки фишинговых писем с уже скомпрометированных аккаунтов. В этих письмах содержатся ссылки, замаскированные под запросы на коммерческое предложение (RFQ) или деловые контракты. Ключевым инструментом для реализации атак служат фишинговые комплекты Tycoon и ODx, использующие технику «противник-в-середине» (Adversary-in-the-Middle, AitM) для перехвата данных в реальном времени.
При переходе по ссылке жертва попадает на легитимную страницу согласия Microsoft OAuth для фальшивого приложения. В качестве примера приводится приложение под названием «iLSMART», которое выдает себя за ILSMart — реальную онлайн-площадку для авиационной, морской и оборонной промышленности. Вредоносное приложение запрашивает у пользователя разрешения «просматривать их основной профиль и сохранять постоянный доступ».
Независимо от того, дает ли пользователь согласие или отказывает, его перенаправляют сначала на страницу с CAPTCHA, а затем на поддельную страницу входа в систему Microsoft. Эта страница, управляемая фишинговым набором Tycoon, использует методы AitM для кражи имени пользователя, пароля, а также сессионных cookie-файлов и кодов MFA в момент их ввода. Это позволяет злоумышленникам обходить даже защищенные многофакторной аутентификацией аккаунты.
Масштабы кампании значительны. По данным Proofpoint, было выявлено более 50 поддельных приложений, имитирующих такие известные компании, как RingCentral, SharePoint, Adobe и Docusign. Только в 2025 году от этих атак пострадало почти 3000 пользователей, а злоумышленники получили доступ к более чем 900 средам Microsoft 365. В рамках отдельной кампании, зафиксированной в прошлом месяце, для рассылки фишинговых писем от имени Adobe использовалась платформа email-маркетинга Twilio SendGrid.
В ответ на эти угрозы корпорация Microsoft объявила о планах по обновлению настроек безопасности по умолчанию. К августу 2025 года компания намерена заблокировать устаревшие протоколы аутентификации и ввести обязательное требование получения согласия администратора для доступа сторонних приложений к данным организации. В Proofpoint считают, что это обновление окажет «положительное влияние» и «серьезно помешает злоумышленникам, использующим данную технику».
Параллельно с этими атаками эксперты фиксируют и другие угрозы. Компания Seqrite сообщила о кампании по распространению клавиатурного шпиона VIP Keylogger. Злоумышленники рассылают целевые фишинговые письма с вложениями, похожими на квитанции об оплате. Для доставки полезной нагрузки используется инжектор на базе AutoIt, который устанавливает вредоносное ПО, написанное , для кражи конфиденциальных данных.
Финская компания WithSecure выявила еще одну продолжающуюся с ноября 2024 года кампанию. Она нацелена на организации во Франции, Люксембурге, Бельгии и Германии. Злоумышленники используют спам-рассылки с PDF-файлами, замаскированными под счета, контракты или списки недвижимости. В этих файлах скрыты ссылки для установки программного обеспечения для удаленного мониторинга и управления (RMM), что позволяет обходить защиту электронной почты и антивирусные системы.
В атаках применялись такие RMM-инструменты, как FleetDeck RMM, Action1, OptiTune, Bluetrait, Syncro, SuperOps, Atera и ScreenConnect. Эксперты WithSecure полагают, что основной целью установки этого ПО является получение первоначального доступа к корпоративным сетям для последующих, более разрушительных атак, что является излюбленным подходом операторов программ-вымогателей.
Специалисты Proofpoint прогнозируют, что злоумышленники будут все чаще нацеливаться на идентификационные данные пользователей, а фишинг с использованием техники AitM станет «криминальным индустриальным стандартом». Использование легитимных инструментов, таких как RMM, для получения первоначального доступа подтверждает тенденцию к усложнению и многоэтапности современных кибератак.

Изображение носит иллюстративный характер
Кампания, впервые обнаруженная специалистами компании Proofpoint в начале 2025 года, нацелена на учетные записи Microsoft 365. Атака начинается с рассылки фишинговых писем с уже скомпрометированных аккаунтов. В этих письмах содержатся ссылки, замаскированные под запросы на коммерческое предложение (RFQ) или деловые контракты. Ключевым инструментом для реализации атак служат фишинговые комплекты Tycoon и ODx, использующие технику «противник-в-середине» (Adversary-in-the-Middle, AitM) для перехвата данных в реальном времени.
При переходе по ссылке жертва попадает на легитимную страницу согласия Microsoft OAuth для фальшивого приложения. В качестве примера приводится приложение под названием «iLSMART», которое выдает себя за ILSMart — реальную онлайн-площадку для авиационной, морской и оборонной промышленности. Вредоносное приложение запрашивает у пользователя разрешения «просматривать их основной профиль и сохранять постоянный доступ».
Независимо от того, дает ли пользователь согласие или отказывает, его перенаправляют сначала на страницу с CAPTCHA, а затем на поддельную страницу входа в систему Microsoft. Эта страница, управляемая фишинговым набором Tycoon, использует методы AitM для кражи имени пользователя, пароля, а также сессионных cookie-файлов и кодов MFA в момент их ввода. Это позволяет злоумышленникам обходить даже защищенные многофакторной аутентификацией аккаунты.
Масштабы кампании значительны. По данным Proofpoint, было выявлено более 50 поддельных приложений, имитирующих такие известные компании, как RingCentral, SharePoint, Adobe и Docusign. Только в 2025 году от этих атак пострадало почти 3000 пользователей, а злоумышленники получили доступ к более чем 900 средам Microsoft 365. В рамках отдельной кампании, зафиксированной в прошлом месяце, для рассылки фишинговых писем от имени Adobe использовалась платформа email-маркетинга Twilio SendGrid.
В ответ на эти угрозы корпорация Microsoft объявила о планах по обновлению настроек безопасности по умолчанию. К августу 2025 года компания намерена заблокировать устаревшие протоколы аутентификации и ввести обязательное требование получения согласия администратора для доступа сторонних приложений к данным организации. В Proofpoint считают, что это обновление окажет «положительное влияние» и «серьезно помешает злоумышленникам, использующим данную технику».
Параллельно с этими атаками эксперты фиксируют и другие угрозы. Компания Seqrite сообщила о кампании по распространению клавиатурного шпиона VIP Keylogger. Злоумышленники рассылают целевые фишинговые письма с вложениями, похожими на квитанции об оплате. Для доставки полезной нагрузки используется инжектор на базе AutoIt, который устанавливает вредоносное ПО, написанное , для кражи конфиденциальных данных.
Финская компания WithSecure выявила еще одну продолжающуюся с ноября 2024 года кампанию. Она нацелена на организации во Франции, Люксембурге, Бельгии и Германии. Злоумышленники используют спам-рассылки с PDF-файлами, замаскированными под счета, контракты или списки недвижимости. В этих файлах скрыты ссылки для установки программного обеспечения для удаленного мониторинга и управления (RMM), что позволяет обходить защиту электронной почты и антивирусные системы.
В атаках применялись такие RMM-инструменты, как FleetDeck RMM, Action1, OptiTune, Bluetrait, Syncro, SuperOps, Atera и ScreenConnect. Эксперты WithSecure полагают, что основной целью установки этого ПО является получение первоначального доступа к корпоративным сетям для последующих, более разрушительных атак, что является излюбленным подходом операторов программ-вымогателей.
Специалисты Proofpoint прогнозируют, что злоумышленники будут все чаще нацеливаться на идентификационные данные пользователей, а фишинг с использованием техники AitM станет «криминальным индустриальным стандартом». Использование легитимных инструментов, таких как RMM, для получения первоначального доступа подтверждает тенденцию к усложнению и многоэтапности современных кибератак.