Команда Microsoft Defender Security Research Team зафиксировала сложную многоступенчатую атаку, направленную на организации энергетического сектора. Злоумышленники используют комбинацию методов «человек посередине» (Adversary-in-the-Middle, AitM) и компрометации деловой переписки (BEC). На данный момент точный масштаб инцидента и количество пострадавших компаний остаются неизвестными, так же как и принадлежность атакующих к какой-либо конкретной киберпреступной группировке. Процесс начинается с фишингового письма, отправленного от имени доверенной организации, которая была взломана ранее.
Хакеры активно применяют тактику Living-off-trusted-sites (LOTS), используя легитимные платформы, такие как SharePoint и OneDrive, для маскировки вредоносной активности и создания иллюзии безопасности у жертвы. Ссылка в письме перенаправляет пользователя на поддельную страницу аутентификации, предназначенную для кражи учетных данных и сессионных файлов cookie. Для закрепления в системе и обхода защиты злоумышленники создают специальные правила в почтовом ящике: они настраивают автоматическое удаление всех входящих писем, пометку их как прочитанных, а также стирают отчеты о недоставке и автоматические ответы об отсутствии на рабочем месте.
Особую сложность представляет взаимодействие с жертвами: если получатели сомневаются в подлинности писем и отправляют уточняющие вопросы, хакеры отвечают на них, заверяя в легитимности запроса, а затем удаляют переписку. Скомпрометированный ящик используется для расширения атаки: в одном зафиксированном случае с аккаунта пользователя было отправлено более 600 фишинговых писем внутренним и внешним контактам. Microsoft подчеркивает, что простого сброса пароля недостаточно для устранения угрозы. Необходимо отзывать активные сессионные файлы cookie, удалять созданные злоумышленниками правила в почте и отменять изменения в настройках многофакторной аутентификации (MFA).
Параллельно с этим Moussa Diallo, исследователь угроз из Okta Threat Intelligence, сообщает о росте активности голосового фишинга (вишинга). Целями атак становятся пользователи Google, Microsoft, Okta и различных криптовалютных платформ. Преступники выдают себя за сотрудников технической поддержки, используя поддельные номера телефонов компаний. Атаки реализуются с помощью фишинговых наборов, продаваемых как услуга, которые включают клиентские скрипты для управления процессом в реальном времени.
Злоумышленники проводят предварительную разведку, заманивают жертву на вредоносный сайт и контролируют поток аутентификации в браузере пользователя. Похищенные учетные данные мгновенно передаются операторам через Telegram-канал. Основная цель таких действий — обойти методы MFA, не обладающие устойчивостью к фишингу, путем убеждения пользователей подтвердить push-уведомления или ввести одноразовые пароли (OTP).
Эксперт Ivan Khamenka из компании Netcraft отмечает общую индустриальную тенденцию злоупотребления доверенными сервисами, такими как Google Drive, Amazon Web Services (AWS) и Atlassian's Confluence. Использование этих платформ для размещения вредоносного ПО или перенаправлений позволяет хакерам избежать необходимости создания собственной инфраструктуры. Netcraft также выделяет специфические техники обмана, такие как эксплуатация URL с базовой аутентификацией. В этом случае браузер интерпретирует часть адреса до символа «@» (например, в ссылке ) как учетные данные, устанавливая соединение с доменом, указанным после этого символа.
Другим распространенным методом является использование омоглифов — визуальной подмены символов, где буква «m» заменяется на сочетание «rn». Были зафиксированы такие примеры доменов, как «rnicrosoft[.]com», «rnastercard[.]de», «rnarriotthotels[.]com» и «rnitsubishielectric[.]com». Чаще всего подобная подмена встречается в словах, связанных с деловой коммуникацией: «Email», «message», «member», «confirmation». Специалисты настоятельно рекомендуют внедрять устойчивую к фишингу MFA, политики условного доступа, непрерывную оценку доступа и использовать решения для сканирования фишинга.
Изображение носит иллюстративный характер
Хакеры активно применяют тактику Living-off-trusted-sites (LOTS), используя легитимные платформы, такие как SharePoint и OneDrive, для маскировки вредоносной активности и создания иллюзии безопасности у жертвы. Ссылка в письме перенаправляет пользователя на поддельную страницу аутентификации, предназначенную для кражи учетных данных и сессионных файлов cookie. Для закрепления в системе и обхода защиты злоумышленники создают специальные правила в почтовом ящике: они настраивают автоматическое удаление всех входящих писем, пометку их как прочитанных, а также стирают отчеты о недоставке и автоматические ответы об отсутствии на рабочем месте.
Особую сложность представляет взаимодействие с жертвами: если получатели сомневаются в подлинности писем и отправляют уточняющие вопросы, хакеры отвечают на них, заверяя в легитимности запроса, а затем удаляют переписку. Скомпрометированный ящик используется для расширения атаки: в одном зафиксированном случае с аккаунта пользователя было отправлено более 600 фишинговых писем внутренним и внешним контактам. Microsoft подчеркивает, что простого сброса пароля недостаточно для устранения угрозы. Необходимо отзывать активные сессионные файлы cookie, удалять созданные злоумышленниками правила в почте и отменять изменения в настройках многофакторной аутентификации (MFA).
Параллельно с этим Moussa Diallo, исследователь угроз из Okta Threat Intelligence, сообщает о росте активности голосового фишинга (вишинга). Целями атак становятся пользователи Google, Microsoft, Okta и различных криптовалютных платформ. Преступники выдают себя за сотрудников технической поддержки, используя поддельные номера телефонов компаний. Атаки реализуются с помощью фишинговых наборов, продаваемых как услуга, которые включают клиентские скрипты для управления процессом в реальном времени.
Злоумышленники проводят предварительную разведку, заманивают жертву на вредоносный сайт и контролируют поток аутентификации в браузере пользователя. Похищенные учетные данные мгновенно передаются операторам через Telegram-канал. Основная цель таких действий — обойти методы MFA, не обладающие устойчивостью к фишингу, путем убеждения пользователей подтвердить push-уведомления или ввести одноразовые пароли (OTP).
Эксперт Ivan Khamenka из компании Netcraft отмечает общую индустриальную тенденцию злоупотребления доверенными сервисами, такими как Google Drive, Amazon Web Services (AWS) и Atlassian's Confluence. Использование этих платформ для размещения вредоносного ПО или перенаправлений позволяет хакерам избежать необходимости создания собственной инфраструктуры. Netcraft также выделяет специфические техники обмана, такие как эксплуатация URL с базовой аутентификацией. В этом случае браузер интерпретирует часть адреса до символа «@» (например, в ссылке ) как учетные данные, устанавливая соединение с доменом, указанным после этого символа.
Другим распространенным методом является использование омоглифов — визуальной подмены символов, где буква «m» заменяется на сочетание «rn». Были зафиксированы такие примеры доменов, как «rnicrosoft[.]com», «rnastercard[.]de», «rnarriotthotels[.]com» и «rnitsubishielectric[.]com». Чаще всего подобная подмена встречается в словах, связанных с деловой коммуникацией: «Email», «message», «member», «confirmation». Специалисты настоятельно рекомендуют внедрять устойчивую к фишингу MFA, политики условного доступа, непрерывную оценку доступа и использовать решения для сканирования фишинга.
