Исследователи Microsoft Defender обнаружили и пресекли масштабную многоэтапную кампанию, сочетающую фишинг по схеме "противник-в-середине" (Adversary-in-the-Middle, AiTM) и компрометацию корпоративной почты (Business Email Compromise, BEC). Целью атак стали организации энергетического сектора. Уникальность инцидента заключается в операционной сложности и использовании легитимных облачных сервисов для доставки вредоносной нагрузки (malicious payload), что потребовало от пострадавших компаний выйти за рамки стандартных процедур реагирования, таких как сброс паролей.
Описание
Кампания началась с фишингового письма, отправленного с адреса доверенной организации-поставщика, которая, вероятно, была скомпрометирована ранее. Для повышения доверия злоумышленники использовали типичную для рабочих процессов схему: ссылка вела на документ в SharePoint, а тема письма имитировала стандартные уведомления этой платформы о совместном доступе. Это позволило атаке обойти многие традиционные почтовые фильтры. Эксперты отмечают, что злоумышленники всё чаще злоупотребляют доверием к популярным облачным сервисам вроде SharePoint и OneDrive, используя их встроенные механизмы аутентификации для маскировки вредоносных намерений.
После перехода по ссылке жертвы попадали на поддельную страницу ввода учетных данных - классический сценарий AiTM-атаки. В этой схеме трафик перехватывается, а данные жертвы передаются как злоумышленнику, так и на настоящий сервис, что позволяет атакующему получить действующий токен сессии. Однако на этом атака не остановилась. Получив доступ к почтовому ящику, злоумышленники создавали правила для входящих писем (inbox rules), которые автоматически помечали всю новую почту как прочитанную и удаляли её. Этот метод обеспечивал постоянное присутствие в системе (persistence) и помогал избежать обнаружения пользователем.
Владение учетной записью с доверенного внутреннего адреса открыло злоумышленникам возможность для масштабной рассылки. Они инициировали фишинг-кампанию, отправив более 600 писем с новой вредоносной ссылкой контактам скомпрометированного пользователя как внутри организации, так и за её пределами. Список адресатов формировался на основе недавних переписок в почтовом ящике жертвы, что повышало правдоподобность атаки.
Затем атака перешла в стадию BEC. Злоумышленники начали мониторить почтовый ящик на наличие писем с уведомлениями о недоставке или автоответов "вне офиса", удаляя их из архива. Когда некоторые получатели сомневались в подлинности фишингового письма и задавали вопросы, атакующие от имени жертвы отвечали, подтверждая легитимность запроса, после чего также удаляли эту переписку. Эти тактики призваны скрыть деятельность злоумышленников от владельца аккаунта.
Важным аспектом стало то, что сотрудники внутри организации, которые переходили по фишинговой ссылке из первого письма, также становились жертвами отдельной AiTM-атаки, что привело к компрометации дополнительных учетных записей. Системы Microsoft Defender выявили всех пострадавших пользователей на основе анализа IP-адресов, используемых для входа, и предоставили информацию всем затронутым организациям.
Данный инцидент наглядно демонстрирует, что в случае сложных многоэтапных атак стандартных мер вроде сброса паролей недостаточно. Организациям энергетического сектора, столкнувшимся с подобными угрозами, необходимо предпринять дополнительные шаги. В частности, требуется отозвать все активные токены сессий (session cookies) и удалить правила для входящих писем, созданные злоумышленниками в почтовых ящиках. Это критически важно для полного устранения угрозы и предотвращения повторного доступа атакующих.
Индикаторы компрометации
IPv4
- 178.130.46.8
- 193.36.221.10
