С ноября 2025 года по март 2026 года злоумышленники провели высокоточную кампанию по краже учётных данных, нацеленную исключительно на руководителей высшего звена крупнейших мировых организаций. Вместо массовых рассылок атакующие выбирали получателей поимённо, причём 60% "титулованных" адресатов обладали статусом CEO, CFO, президента или председателя совета директоров. Такой подход сразу поднимает инцидент над уровнем рядового фишинга и превращает его в целенаправленную угрозу для критически важных фигур бизнеса. Атака затронула более 20 отраслей, а её техническая изощрённость указывает на продуманную стратегию обхода всех современных средств защиты.
Описание
Злоумышленники имитировали уведомления о совместном доступе к документам через SharePoint, подставляя в письма название компании жертвы и её домен. Тема письма вращалась вокруг финансовой отчётности, чтобы повысить шанс вовлечения занятого руководителя. Однако вместо привычной вредоносной ссылки сообщение содержало QR-код, составленный из блочных символов Unicode. Такой приём делал код неотличимым от обычного текста для фильтров, ищущих изображения. Более того, под видимой областью письма пряталась поддельная переписка, отделённая двумя тысячами пикселей CSS-отступов. Она была предназначена только для автоматических анализаторов контента, которые "видели" легитимный диалог и не замечали истинной угрозы. Подобное конструирование писем стало одной из ключевых причин, по которым кампания долго оставалась незамеченной.
Сканирование QR-кода переводило взаимодействие с корпоративного устройства на личный мобильный телефон руководителя. Этот шаг осознанно выводил атаку из-под мониторинга корпоративных прокси-серверов и средств защиты конечных точек. Адрес электронной почты цели при этом дважды кодировался методом Base64 и помещался во фрагмент URL - часть ссылки, которая никогда не передаётся на сервер. В результате идентификатор жертвы не фиксировался в логах прокси или шлюзов, что дополнительно заметало следы.
Дальнейший путь вёл на подставную страницу проверки, которая работала как многослойный фильтр. Сначала синхронно анализировалась строка идентификации браузера (User-Agent). Если значение содержало ключевые слова вроде "headless", "selenium", "playwright" или иные признаки автоматизированных сред, посетитель немедленно перенаправлялся на безобидный сайт. Второй слой проверял, соответствует ли User-Agent сигнатуре настоящего браузера - например, Chrome, Firefox, Safari. Только те сессии, что не проходили оба теста, попадали на третий уровень: сравнение со списком из 385 строк, куда входили краулеры вендоров безопасности, облачные идентификаторы, инструменты пентеста и библиотеки HTTP-клиентов. Параллельно работали живые проверки IP-репутации и скрытые элементы-ловушки. В недавних версиях атакующей инфраструктуры добавились ещё и задачи на доказательство работы (proof-of-work), которые усложняли автоматизированный анализ. Все, кто не проходил хотя бы один барьер, бесшумно уводились на декои, а до фишинговой страницы добирался только живой целевой пользователь.
Эту сложную систему обеспечивала ранее не документированная платформа фишинга как услуги (Phishing-as-a-Service, PhaaS) под названием VENOM. Специалисты Abnormal AI в своём отчёте впервые описали её внутреннее устройство. Платформа включает модуль лицензирования и активации, структурированное хранилище токенов и интерфейс управления кампаниями. На момент анализа VENOM не фигурировала ни в одной публичной базе данных угроз, её не обнаруживали на подпольных форумах и открытых торговых площадках. Это говорит о закрытом характере распространения: доступ предоставляется только через проверенные каналы, что резко сужает круг подозреваемых и одновременно объясняет высокое качество реализации.
Сама страница-ловушка точно воспроизводила настоящий экран входа Microsoft - с логотипом организации жертвы, предзаполненным адресом почты и страницей федеративного поставщика учётных данных. Дальше схема работала в одном из двух режимов. Первый - атака типа "противник посередине" (Adversary-in-the-Middle, AiTM): учётные данные и коды многофакторной аутентификации в реальном времени передавались на действующий API Microsoft. Злоумышленник, находящийся в роли посредника, получал сессионные токены и до окончания сеанса незаметно регистрировал контролируемый им аутентификатор. Второй режим использовал протокол OAuth (открытый стандарт авторизации) в варианте Device Code. В этом случае Microsoft самостоятельно доставляла токены обновления (refresh tokens) прямо в инфраструктуру злоумышленников. Таким образом, атакующие получали долговременный доступ к учётной записи без необходимости повторно вводить пароль или проходить многофакторную проверку. Оба метода превращали единичный факт аутентификации в устойчивое закрепление в системе.
Анализ инфраструктуры показывает, что все компоненты атаки работали как единая цепочка. Проверочные шлюзы, API-слой и среда для перехвата учётных данных были тесно интегрированы. Хотя архитектура выглядит модульной, специалисты не зафиксировали случаев, когда шлюз или API-слой направляли трафик на сторонние, не связанные с VENOM, инструменты. Это усиливает подозрение, что перед нами именно единая платформа, а не разрозненный набор инструментов.
Последствия кампании напрямую связаны с уровнем скомпрометированных лиц. Получив доступ к учётной записи CEO или финансового директора, злоумышленники могут инициировать мошеннические платежи, перехватывать конфиденциальную переписку, получать доступ к стратегическим документам и использовать легитимный аккаунт для атак на партнёров. Поскольку доступ обеспечивался через легально выпущенные токены, обнаружить компрометацию стандартными средствами было крайне сложно. К тому же перемещение активности на личные мобильные устройства практически исключало возможность расследования с помощью корпоративных EDR-решений.
Специалистам по информационной безопасности стоит обратить внимание на эту кампанию сразу по нескольким причинам. Во-первых, она демонстрирует, что злоумышленники продолжают инвестировать в обход многофакторной аутентификации, причём не через её отключение, а через перехват сессионных токенов и регистрацию новых факторов. Во-вторых, использование QR-кодов без графических файлов разрушает привычные методы детектирования. В-третьих, наличие закрытой PhaaS-платформы указывает на формирование теневого рынка с разделением труда: одни разрабатывают инструментарий, другие проводят атаки. В этой ситуации критически важно обучать топ-менеджеров не доверять QR-кодам в письмах, даже если те выглядят как стандартные уведомления корпоративных сервисов. Кроме того, организациям следует пересмотреть политики управления сессионными токенами, сократить время их жизни и внедрить непрерывный анализ поведения учётных записей. Только многоуровневая защита, включающая не только технические, но и человеческие факторы, способна противостоять столь изощрённым угрозам.
Индикаторы компрометации
IPv4
- 80.78.18.242
- 80.78.18.76
- 91.132.95.144
Domains
- api.premiummovement.net
- api-tls365.sbs
- apl365.sbs
- cetsinc.com
- gutmann.ae
- islandrobotics.nc
- thaileforensics.co
- tls-api0365.sbs
