В понедельник команда исследователей Microsoft Defender Security Research Team опубликовала данные о новой угрозе, направленной на правительственные и общественные организации. Данный вектор представляет собой атаку на основе идентификации (identity-based threat), которая не эксплуатирует уязвимости программного обеспечения и не крадет пароли напрямую. Вместо этого злоумышленники злоупотребляют заложенной в архитектуру стандарта аутентификации OAuth функцией перенаправления URL-адресов. Используя сценарии ошибок, хакеры обходят традиционные средства защиты электронной почты и браузеров.
Атака начинается с создания вредоносного приложения в контролируемом хакерами тенанте (attacker-controlled tenant). Приложение настраивается с указанием URL-адреса перенаправления, ведущего на мошеннический домен с вредоносным программным обеспечением. После этого жертве отправляется фишинговая ссылка, интегрированная в тело электронного письма или встроенная в документ формата.PDF. Ключевой элемент эксплойта заключается в том, что ссылка требует от получателя пройти аутентификацию с намеренно недействительной областью действия (intentionally invalid scope). Это вызывает легитимную ошибку потока OAuth, которая автоматически перенаправляет пользователя на вредоносную целевую страницу.
После перенаправления жертва непреднамеренно скачивает архив в . Первичное выполнение кода происходит, когда пользователь распаковывает архив и открывает содержащийся в нем ярлык Windows (.LNK). Этот ярлык немедленно запускает команду PowerShell, которая проводит разведку на зараженном хосте (host reconnaissance), собирая данные о системе.
Одновременно файл.LNK извлекает из архива установщик формата.MSI. Чтобы отвлечь внимание жертвы, установщик открывает документ-приманку, скрытно загружая на диск вредоносную динамическую библиотеку под названием crashhandler.dll. Для запуска этой библиотеки злоумышленники применяют метод подмены (DLL side-loading), используя легитимный исполняемый бинарный файл steam_monitor.exe (.EXE).
На финальном этапе вредоносная библиотека расшифровывает файл данных с именем crashlog.dat (.DAT) и выполняет конечную полезную нагрузку непосредственно в оперативной памяти системы. После этого устанавливается исходящее соединение с внешним сервером управления и контроля (Command-and-Control, C2). Конечной целью этой цепи является либо подготовка к развертыванию программ-вымогателей (pre-ransom activity), либо переход к ручному управлению скомпрометированной системой (hands-on-keyboard activity).
Для массовой рассылки писем используются кастомные решения, написанные на языках программирования Python и Node.js. Инструменты социальной инженерии (spear-phishing) включают темы, связанные с запросами на электронную подпись, уведомлениями о записях в сервисе Teams, проблемами социального обеспечения, финансовыми вопросами и политическими событиями.
Чтобы повысить достоверность фишинговых страниц, злоумышленники применяют тактику манипуляции параметром state в протоколе OAuth. В легитимных условиях этот параметр генерируется случайным образом для корреляции запросов и ответов. Хакеры перепрофилируют его, используя методы кодирования для передачи адреса электронной почты цели. В результате email жертвы автоматически подставляется на фишинговой странице, создавая иллюзию безопасного входа через таких провайдеров идентификации, как Entra ID или Google Workspace.
Помимо прямой доставки вредоносного ПО, зафиксирован альтернативный сценарий атаки (Adversary-in-the-Middle, AitM). В ряде кампаний перенаправление OAuth используется для вывода пользователей на фишинговые фреймворки, в частности на набор EvilProxy. Данный инструментарий перехватывает процесс авторизации с целью кражи учетных данных и сеансовых файлов cookie (токенов). В рамках реагирования на угрозу корпорация Microsoft уже удалила несколько вредоносных приложений OAuth. Организациям настоятельно рекомендуется ограничить возможности согласия пользователей (user consent), периодически пересматривать права доступа приложений и удалять неиспользуемые программы с избыточными привилегиями.
Изображение носит иллюстративный характер
Атака начинается с создания вредоносного приложения в контролируемом хакерами тенанте (attacker-controlled tenant). Приложение настраивается с указанием URL-адреса перенаправления, ведущего на мошеннический домен с вредоносным программным обеспечением. После этого жертве отправляется фишинговая ссылка, интегрированная в тело электронного письма или встроенная в документ формата.PDF. Ключевой элемент эксплойта заключается в том, что ссылка требует от получателя пройти аутентификацию с намеренно недействительной областью действия (intentionally invalid scope). Это вызывает легитимную ошибку потока OAuth, которая автоматически перенаправляет пользователя на вредоносную целевую страницу.
После перенаправления жертва непреднамеренно скачивает архив в . Первичное выполнение кода происходит, когда пользователь распаковывает архив и открывает содержащийся в нем ярлык Windows (.LNK). Этот ярлык немедленно запускает команду PowerShell, которая проводит разведку на зараженном хосте (host reconnaissance), собирая данные о системе.
Одновременно файл.LNK извлекает из архива установщик формата.MSI. Чтобы отвлечь внимание жертвы, установщик открывает документ-приманку, скрытно загружая на диск вредоносную динамическую библиотеку под названием crashhandler.dll. Для запуска этой библиотеки злоумышленники применяют метод подмены (DLL side-loading), используя легитимный исполняемый бинарный файл steam_monitor.exe (.EXE).
На финальном этапе вредоносная библиотека расшифровывает файл данных с именем crashlog.dat (.DAT) и выполняет конечную полезную нагрузку непосредственно в оперативной памяти системы. После этого устанавливается исходящее соединение с внешним сервером управления и контроля (Command-and-Control, C2). Конечной целью этой цепи является либо подготовка к развертыванию программ-вымогателей (pre-ransom activity), либо переход к ручному управлению скомпрометированной системой (hands-on-keyboard activity).
Для массовой рассылки писем используются кастомные решения, написанные на языках программирования Python и Node.js. Инструменты социальной инженерии (spear-phishing) включают темы, связанные с запросами на электронную подпись, уведомлениями о записях в сервисе Teams, проблемами социального обеспечения, финансовыми вопросами и политическими событиями.
Чтобы повысить достоверность фишинговых страниц, злоумышленники применяют тактику манипуляции параметром state в протоколе OAuth. В легитимных условиях этот параметр генерируется случайным образом для корреляции запросов и ответов. Хакеры перепрофилируют его, используя методы кодирования для передачи адреса электронной почты цели. В результате email жертвы автоматически подставляется на фишинговой странице, создавая иллюзию безопасного входа через таких провайдеров идентификации, как Entra ID или Google Workspace.
Помимо прямой доставки вредоносного ПО, зафиксирован альтернативный сценарий атаки (Adversary-in-the-Middle, AitM). В ряде кампаний перенаправление OAuth используется для вывода пользователей на фишинговые фреймворки, в частности на набор EvilProxy. Данный инструментарий перехватывает процесс авторизации с целью кражи учетных данных и сеансовых файлов cookie (токенов). В рамках реагирования на угрозу корпорация Microsoft уже удалила несколько вредоносных приложений OAuth. Организациям настоятельно рекомендуется ограничить возможности согласия пользователей (user consent), периодически пересматривать права доступа приложений и удалять неиспользуемые программы с избыточными привилегиями.
