Фальшивые приглашения: злоумышленники используют имитацию европейских мероприятий для целевых атак

В своем новом исследовании Volexity детально описывает две свежие кампании, в которых применялись фишинговые схемы с использованием OAuth и Device Code. В этих атаках создавались поддельные веб-сайты, маскирующиеся под легитимные международные мероприятия по безопасности в Европе. Целью было обмануть пользователей, зарегистрировавшихся на эти события, и заставить их предоставить несанкционированный доступ к своим аккаунтам. Для этого использовались названия реальных конференций: Белградская конференция по безопасности (ноябрь 2025) и Брюссельский индо-тихоокеанский диалог (декабрь 2025).

Кампании отличались продуманным подходом и включали несколько ключевых методов. Во-первых, это фишинг с установлением отношений. Злоумышленник сначала вступал с жертвой в безобидную переписку, и только после подтверждения интереса отправлял фишинговую ссылку. Во-вторых, создавались качественные и профессионально выглядящие фальшивые сайты. В-третьих, для сопровождения жертв использовались мессенджеры WhatsApp и Signal, где атакующий предлагал "живую поддержку" для правильного завершения процесса фишинга.

Эксперты Volexity связывают эти атаки с группировкой, которую они отслеживают под обозначением UTA0355. Это та же самая группа, о деятельности которой компания сообщала в апреле 2025 года.

Механика атак на примере Белградской конференции

В октябре 2025 года Volexity расследовала инцидент, связанный с компрометацией учетной записи Microsoft 365. Расследование показало, что пользователь получил целенаправленное фишинговое письмо, ведущее к сценарию аутентификации OAuth. Письмо было отправлено с легитимного адреса, с которым у жертвы уже велась переписка о предстоящей конференции. Для завершения атаки требовалось, чтобы пользователь отправил злоумышленнику код, сгенерированный Microsoft и отображаемый в адресной строке браузера. Поскольку в самой переписке не было инструкций, аналитики предположили использование альтернативных каналов связи.

В ходе расследования выяснилось, что злоумышленник активно общался с целью в WhatsApp, используя два скомпрометированных аккаунта, связанных с конференцией. Первый аккаунт уведомил пользователя, что с ним свяжется "коллега". Второй аккаунт, выдав себя за этого коллегу, подготовил почву для получения фишингового приглашения. Сначала злоумышленник вел обычный разговор, а затем отправил ссылку для регистрации на ресурсы конференции.

Ссылка вела на легитимный URL Microsoft, который был использован в рамках фишингового сценария OAuth. После ввода учетных данных пользователь попадал на пустую страницу, в адресной строке которой содержался OAuth-токен. Атакующий просил предоставить этот URL под предлогом "завершения регистрации". После успешной фишинговой атаки злоумышленник получил доступ к файлам жертвы в Microsoft 365. При этом для доступа использовалось устройство с именем, совпадающим с уже существующим устройством пользователя, что усложняло обнаружение. Интересно, что в одном из случаев доступ, маскирующийся под iPhone, на самом деле осуществлялся с устройства на Android.

Расширение операций и новые цели

Вскоре после этой целенаправленной атаки Volexity зафиксировала более широкую кампанию. В ноябре 2025 года с созданного злоумышленниками Gmail-аккаунта были разосланы фишинговые письма множеству целей. Ссылки в письмах вели на новый сайт bsc2025[.]org, имитировавший официальный домен конференции. На странице регистрации пользователей просили указать корпоративную, а не личную электронную почту.

Если домен почты не представлял интереса для атакующих, пользователь просто видел страницу с подтверждением регистрации. Однако если домен был целевым, пользователь перенаправлялся на фишинговую страницу, имитирующую вход в Microsoft 365. Единственным видимым признаком атаки было окно приложения Microsoft Authentication Broker, появляющееся после аутентификации. Это же приложение используется в открытом проекте DeviceCodePhishing на GitHub. Последующая активность злоумышленников, зафиксированная через подставную учетную запись, исходила с резидентного IP-адреса Comcast в США, который, согласно данным spur.us, принадлежал прокси-сети.

Параллельно Volexity отслеживала вторую кампанию, также приписываемую UTA0355. В ней письма приходили от имени сотрудника Центра безопасности, дипломатии и стратегии Свободного университета Брюсселя. Целями становились лица, работающие в сфере внешней политики, европейских дел или ранее занимавшие высокие посты в правительстве США. После нескольких писем злоумышленник отправлял уникальную ссылку для добавления пользователя в "систему Брюссельского диалога". В случае ошибки жертву просили скопировать и отправить точный URL из браузера, что характерно для фишинга OAuth.

Домен ustrs[.]com, использовавшийся в атаке, был первоначально зарегистрирован в 2020 году, но обновлен в октябре 2025-го. Это распространенная тактика для обхода систем безопасности, которые оценивают риск на основе возраста домена.

Социальная инженерия и расширение списка целей

Одной из эффективных тактик UTA0355 стало расширение списка целей через самих жертв. Когда приглашенный пользователь отвечал, что не может посетить мероприятие, злоумышленник просил его все же зарегистрироваться для получения обновлений, а также предоставить контакты коллег, которым это может быть интересно. Volexity зафиксировала несколько случаев, когда такие контакты передавались атакующим. В одном из эпизодов пользователь даже лично представил нового потенциального целевого сотрудника от имени UTA0355.

Дополнительная инфраструктура

Анализ WHOIS-данных домена bsc2025[.]org показал, что для его регистрации использовался аккаунт на малоизвестном почтовом сервисе mailum[.]com. Поиск других доменов, зарегистрированных через этот сервис, выявил инфраструктуру, маскирующуюся под Всемирную ядерную выставку в Париже. Были обнаружены домены world-nuclear-exhibition-paris[.]com, wne-2025[.]com и confirmyourflight-parisaeroport[.]com. Хотя Volexity не может подтвердить их использование в атаках, высока вероятность, что они были задействованы UTA0355 в более ранних операциях.

Выводы

С начала года Volexity отмечает значительный рост высокоцелевых атак с использованием Device Code и OAuth. Эти методы существуют давно, но их популярность среди злоумышленников растет, вероятно, из-за высокой эффективности. Описанные кампании - лишь малая часть наблюдаемых атак, и они продолжают быть успешными, особенно в сочетании с продуманной социальной инженерией.

Эксперты выделяют несколько факторов. Процесс "регистрации" на мероприятия был очень похож на реальные рабочие процессы аутентификации через единый вход (SSO). Использование предлога в виде предстоящих событий доказало свою эффективность, а пользователи сами помогали атакующим, пересылая приглашения коллегам. Применение скомпрометированных аккаунтов для рассылки фишинга рискованно для злоумышленников, но придает атаке правдоподобность и повышает вероятность успеха. Контакты через мессенджеры добавляют операциям легитимности в глазах жертв.

Уровень подготовки, включающий создание качественных сайтов-клонов, impersonation (выдачу себя за других лиц) и прямую коммуникацию в мессенджерах, указывает на то, что UTA0355 является хорошо оснащенной и профессиональной группировкой. Организациям рекомендуется усиливать обучение сотрудников, особенно работающих с внешними контактами, и внедрять многофакторную аутентификацию для критически важных сервисов.

IPv4

• 151.245.195.9
• 88.218.1.9

Domains

• brussels-indo-pacific-dialogue.ustrs.com
• brussels-indo-pacific-forum.org
• bsc2025.org
• confirmyourflight-parisaeroport.com
• ustrs.com
• wne-2025.com
• world-nuclear-exhibition-paris.com

Emails

• invitationbipd@outlook.com
• invitationcsds@outlook.com