Ssylka

Атаки на Microsoft 365: как поддельные приложения обходят многофакторную аутентификацию

Злоумышленники проводят сложные атаки по захвату учетных записей пользователей Microsoft 365, создавая вредоносные OAuth-приложения, которые выдают себя за легитимные компании. Эти приложения используются в связке с продвинутыми фишинговыми наборами класса Phishing-as-a-Service (PhaaS), такими как Tycoon, для кражи учетных данных и обхода многофакторной аутентификации (MFA). Эта тактика является частью более широкой тенденции, в рамках которой киберпреступники применяют инновационные методы для получения первоначального доступа к корпоративным средам.
Атаки на Microsoft 365: как поддельные приложения обходят многофакторную аутентификацию
Изображение носит иллюстративный характер

Кампания, впервые обнаруженная специалистами компании Proofpoint в начале 2025 года, нацелена на учетные записи Microsoft 365. Атака начинается с рассылки фишинговых писем с уже скомпрометированных аккаунтов. В этих письмах содержатся ссылки, замаскированные под запросы на коммерческое предложение (RFQ) или деловые контракты. Ключевым инструментом для реализации атак служат фишинговые комплекты Tycoon и ODx, использующие технику «противник-в-середине» (Adversary-in-the-Middle, AitM) для перехвата данных в реальном времени.

При переходе по ссылке жертва попадает на легитимную страницу согласия Microsoft OAuth для фальшивого приложения. В качестве примера приводится приложение под названием «iLSMART», которое выдает себя за ILSMart — реальную онлайн-площадку для авиационной, морской и оборонной промышленности. Вредоносное приложение запрашивает у пользователя разрешения «просматривать их основной профиль и сохранять постоянный доступ».

Независимо от того, дает ли пользователь согласие или отказывает, его перенаправляют сначала на страницу с CAPTCHA, а затем на поддельную страницу входа в систему Microsoft. Эта страница, управляемая фишинговым набором Tycoon, использует методы AitM для кражи имени пользователя, пароля, а также сессионных cookie-файлов и кодов MFA в момент их ввода. Это позволяет злоумышленникам обходить даже защищенные многофакторной аутентификацией аккаунты.

Масштабы кампании значительны. По данным Proofpoint, было выявлено более 50 поддельных приложений, имитирующих такие известные компании, как RingCentral, SharePoint, Adobe и Docusign. Только в 2025 году от этих атак пострадало почти 3000 пользователей, а злоумышленники получили доступ к более чем 900 средам Microsoft 365. В рамках отдельной кампании, зафиксированной в прошлом месяце, для рассылки фишинговых писем от имени Adobe использовалась платформа email-маркетинга Twilio SendGrid.

В ответ на эти угрозы корпорация Microsoft объявила о планах по обновлению настроек безопасности по умолчанию. К августу 2025 года компания намерена заблокировать устаревшие протоколы аутентификации и ввести обязательное требование получения согласия администратора для доступа сторонних приложений к данным организации. В Proofpoint считают, что это обновление окажет «положительное влияние» и «серьезно помешает злоумышленникам, использующим данную технику».

Параллельно с этими атаками эксперты фиксируют и другие угрозы. Компания Seqrite сообщила о кампании по распространению клавиатурного шпиона VIP Keylogger. Злоумышленники рассылают целевые фишинговые письма с вложениями, похожими на квитанции об оплате. Для доставки полезной нагрузки используется инжектор на базе AutoIt, который устанавливает вредоносное ПО, написанное , для кражи конфиденциальных данных.

Финская компания WithSecure выявила еще одну продолжающуюся с ноября 2024 года кампанию. Она нацелена на организации во Франции, Люксембурге, Бельгии и Германии. Злоумышленники используют спам-рассылки с PDF-файлами, замаскированными под счета, контракты или списки недвижимости. В этих файлах скрыты ссылки для установки программного обеспечения для удаленного мониторинга и управления (RMM), что позволяет обходить защиту электронной почты и антивирусные системы.

В атаках применялись такие RMM-инструменты, как FleetDeck RMM, Action1, OptiTune, Bluetrait, Syncro, SuperOps, Atera и ScreenConnect. Эксперты WithSecure полагают, что основной целью установки этого ПО является получение первоначального доступа к корпоративным сетям для последующих, более разрушительных атак, что является излюбленным подходом операторов программ-вымогателей.

Специалисты Proofpoint прогнозируют, что злоумышленники будут все чаще нацеливаться на идентификационные данные пользователей, а фишинг с использованием техники AitM станет «криминальным индустриальным стандартом». Использование легитимных инструментов, таких как RMM, для получения первоначального доступа подтверждает тенденцию к усложнению и многоэтапности современных кибератак.


Новое на сайте

16933Может ли государственный фонд единолично решать судьбу американской науки? 16932Способна ли филантропия блогеров решить мировой водный кризис? 16931Взлом через промпт: как AI-редактор Cursor превращали в оружие 16930Мог ли древний кризис заставить людей хоронить мертвых в печах с собаками? 16929Какие наушники Bose выбрать на распродаже: для полной изоляции или контроля над... 16928Может ли искусство напрямую очищать экосистемы от вредителей? 16927Вирусное наследие в геноме человека оказалось ключевым регулятором генов 16926Рекордные оазисы жизни обнаружены в бездне океанских траншей 16925Крах прогнозов UnitedHealth на фоне растущих издержек и трагедий 16924Формула ясного ума: доказанный способ замедлить когнитивное старение 16923Действительно ли ощущения тепла и прохлады идут в мозг разными путями? 16922Гражданские права как инструмент холодной войны 16921Премиальное белье Duluth Trading Co. со скидкой более 50% 16920Сделает ли запрет на пищевые красители школьные обеды по-настояшему здоровыми? 16919Код от Claude: ИИ-сгенерированный вирус похищал криптовалюту через npm