Киберпреступники создали высокоэффективный конвейер атак на Microsoft 365, комбинируя легитимный HTTP-клиент Axios с функцией Microsoft Direct Send. По данным исследовательской компании ReliaQuest, такой подход позволяет с 70% успехом обходить традиционные меры безопасности, похищать учетные данные и компрометировать аккаунты. Эта тактика представляет собой значительную эволюцию фишинга, выводя его на уровень операций корпоративного масштаба с применением передовых техник уклонения.
С июня по август 2025 года активность пользовательского агента Axios выросла на 241%, в то время как все остальные отслеживаемые агенты вместе показали рост лишь на 85%. Из 32 пользовательских агентов, попавших в поле зрения аналитиков, на Axios пришлось 24,44% всей активности. Первые предупреждения о злоупотреблении этим инструментом были озвучены компанией Proofpoint еще в январе 2025 года, что указывает на планомерное развитие угрозы.
Атака, которую ReliaQuest наблюдает с июля 2025 года, начинается с рассылки электронных писем на тему компенсаций. Эти сообщения содержат вложенные PDF-документы с вредоносными QR-кодами. Использование легитимной функции Direct Send в Microsoft 365 позволяет атакующим отправлять эти письма, маскируя их под внутреннюю переписку, что обеспечивает обход защитных шлюзов и доставку напрямую в почтовые ящики пользователей.
После сканирования QR-кода жертва перенаправляется на поддельную страницу входа в систему, имитирующую Microsoft Outlook. Для повышения доверия и обхода систем обнаружения эта мошенническая страница размещается на инфраструктуре Google Firebase. Цель этого этапа — сбор учетных данных пользователя, включая логин и пароль.
Ключевая роль Axios в этой схеме заключается в его способности перехватывать, изменять и воспроизводить HTTP-запросы в реальном времени. Это позволяет злоумышленникам захватывать сеансовые токены или коды многофакторной аутентификации (MFA), эксплуатировать токены SAS в процессах аутентификации Azure и автоматизировать фишинговые рабочие процессы. Такой подход был назван «переломным моментом», так как он позволяет обходить MFA и масштабировать атаки с беспрецедентной точностью.
Изначально кампания была нацелена на руководителей и менеджеров в финансовом, медицинском и производственном секторах. Однако позже атакующие расширили свои цели, начав атаковать всех пользователей без разбора, что свидетельствует о высокой степени автоматизации и масштабируемости их операционной модели.
Для противодействия этой угрозе рекомендуется отключить функцию Direct Send, если она не является критически важной для бизнес-процессов. Также необходимо настроить политики защиты от спуфинга на почтовых шлюзах, проводить обучение сотрудников для распознавания фишинговых писем и блокировать подозрительные домены, используемые в атаках.
Параллельно компания Mimecast зафиксировала другую крупномасштабную кампанию по сбору учетных данных, нацеленную на специалистов в сфере гостеприимства. Злоумышленники выдавали себя за платформы Expedia Partner Central и Cloudbeds, рассылая электронные письма под видом подтверждений бронирования от гостей и уведомлений от партнерского центра с темами, требующими срочного внимания.
Эта кампания использует многоступенчатую схему обхода защиты. Первоначальная целевая страница размещается на легитимном сервисе Aha[.]io и маскируется под уведомление о совместном доступе к файлам в OneDrive. Чтобы отсеять автоматизированные средства безопасности и «песочницы», пользователю предлагается пройти проверку Cloudflare Turnstile.
После успешной проверки жертва перенаправляется на финальную страницу сбора учетных данных. Эта страница оснащена продвинутыми механизмами защиты: геоблокировкой и IP-фильтрацией для блокировки трафика от известных поставщиков средств безопасности, а также функцией отключения сочетаний клавиш для вызова инструментов разработчика в браузере. Кроме того, для каждой сессии жертвы генерируется новый поддомен, что значительно усложняет анализ и блокировку.
Эти кампании отражают общую тенденцию превращения фишинга в операции корпоративного уровня. По данным фирмы Ontinue, современные фишинговые комплекты, такие как условный «Salty2FA», поддерживают «базу данных корпоративных тем». Они автоматически настраивают интерфейс поддельной страницы входа в систему в соответствии с доменным именем электронной почты жертвы, что усиливает эффективность социальной инженерии.
Главная опасность заключается в том, что такие передовые методы «стирают грань между легитимным и вредоносным трафиком». Киберпреступники планируют свою инфраструктуру с той же методичностью, что и законные предприятия, делая обнаружение их атак чрезвычайно сложной задачей для традиционных систем защиты.
Изображение носит иллюстративный характер
С июня по август 2025 года активность пользовательского агента Axios выросла на 241%, в то время как все остальные отслеживаемые агенты вместе показали рост лишь на 85%. Из 32 пользовательских агентов, попавших в поле зрения аналитиков, на Axios пришлось 24,44% всей активности. Первые предупреждения о злоупотреблении этим инструментом были озвучены компанией Proofpoint еще в январе 2025 года, что указывает на планомерное развитие угрозы.
Атака, которую ReliaQuest наблюдает с июля 2025 года, начинается с рассылки электронных писем на тему компенсаций. Эти сообщения содержат вложенные PDF-документы с вредоносными QR-кодами. Использование легитимной функции Direct Send в Microsoft 365 позволяет атакующим отправлять эти письма, маскируя их под внутреннюю переписку, что обеспечивает обход защитных шлюзов и доставку напрямую в почтовые ящики пользователей.
После сканирования QR-кода жертва перенаправляется на поддельную страницу входа в систему, имитирующую Microsoft Outlook. Для повышения доверия и обхода систем обнаружения эта мошенническая страница размещается на инфраструктуре Google Firebase. Цель этого этапа — сбор учетных данных пользователя, включая логин и пароль.
Ключевая роль Axios в этой схеме заключается в его способности перехватывать, изменять и воспроизводить HTTP-запросы в реальном времени. Это позволяет злоумышленникам захватывать сеансовые токены или коды многофакторной аутентификации (MFA), эксплуатировать токены SAS в процессах аутентификации Azure и автоматизировать фишинговые рабочие процессы. Такой подход был назван «переломным моментом», так как он позволяет обходить MFA и масштабировать атаки с беспрецедентной точностью.
Изначально кампания была нацелена на руководителей и менеджеров в финансовом, медицинском и производственном секторах. Однако позже атакующие расширили свои цели, начав атаковать всех пользователей без разбора, что свидетельствует о высокой степени автоматизации и масштабируемости их операционной модели.
Для противодействия этой угрозе рекомендуется отключить функцию Direct Send, если она не является критически важной для бизнес-процессов. Также необходимо настроить политики защиты от спуфинга на почтовых шлюзах, проводить обучение сотрудников для распознавания фишинговых писем и блокировать подозрительные домены, используемые в атаках.
Параллельно компания Mimecast зафиксировала другую крупномасштабную кампанию по сбору учетных данных, нацеленную на специалистов в сфере гостеприимства. Злоумышленники выдавали себя за платформы Expedia Partner Central и Cloudbeds, рассылая электронные письма под видом подтверждений бронирования от гостей и уведомлений от партнерского центра с темами, требующими срочного внимания.
Эта кампания использует многоступенчатую схему обхода защиты. Первоначальная целевая страница размещается на легитимном сервисе Aha[.]io и маскируется под уведомление о совместном доступе к файлам в OneDrive. Чтобы отсеять автоматизированные средства безопасности и «песочницы», пользователю предлагается пройти проверку Cloudflare Turnstile.
После успешной проверки жертва перенаправляется на финальную страницу сбора учетных данных. Эта страница оснащена продвинутыми механизмами защиты: геоблокировкой и IP-фильтрацией для блокировки трафика от известных поставщиков средств безопасности, а также функцией отключения сочетаний клавиш для вызова инструментов разработчика в браузере. Кроме того, для каждой сессии жертвы генерируется новый поддомен, что значительно усложняет анализ и блокировку.
Эти кампании отражают общую тенденцию превращения фишинга в операции корпоративного уровня. По данным фирмы Ontinue, современные фишинговые комплекты, такие как условный «Salty2FA», поддерживают «базу данных корпоративных тем». Они автоматически настраивают интерфейс поддельной страницы входа в систему в соответствии с доменным именем электронной почты жертвы, что усиливает эффективность социальной инженерии.
Главная опасность заключается в том, что такие передовые методы «стирают грань между легитимным и вредоносным трафиком». Киберпреступники планируют свою инфраструктуру с той же методичностью, что и законные предприятия, делая обнаружение их атак чрезвычайно сложной задачей для традиционных систем защиты.
