В конце апреля 2026 года подразделение реагирования на угрозы компании eSentire (TRU) выявило масштабную фишинговую кампанию, которая объединила две опасные тенденции. Первая - это продолжение работы набора для фишинга как услуги (PhaaS) Tycoon 2FA, несмотря на мартовскую ликвидацию его инфраструктуры силами Microsoft и Европола при участии eSentire. Вторая - растущее использование механизма авторизации устройств OAuth (протокола делегированного доступа) для компрометации учётных записей Microsoft 365.
Описание
Атака начинается с того, что жертва переходит по ссылке в электронном письме, обработанной системой отслеживания Trustifi. В итоге пользователь, сам того не ведая, предоставляет токены OAuth устройству злоумышленника через легитимный процесс входа на microsoft.com/devicelogin. Между этими двумя точками находится четырёхуровневая цепочка доставки, основанная на браузере. При этом методы Tycoon 2FA остались практически неизменными по сравнению с версией для перехвата учётных данных, описанной TRU в апреле 2025 года, и версией после разгрома, задокументированной в апреле 2026-го.
Операторы Tycoon 2FA приспособили свой существующий набор для фишинга в качестве инфраструктуры доставки атак с кодом устройства OAuth. Изменилась только приманка, сам комплект остался прежним. Анализ исходного кода подтвердил четыре независимых признака, связывающих эту кампанию с предыдущими версиями: архитектура Check Domain, шифрование AES-CBC с жёстко заданными ключом и вектором инициализации "1234567890123456", защита от отладки и обёртка на HTML с Base64 и XOR. В новом варианте шифрование используется не для передачи учётных данных, а для сокрытия служебной информации сессии. Жертву никогда не просят ввести пароль.
Поддельное приложение, от имени которого действует злоумышленник, - Microsoft Authentication Broker (идентификатор 29d9ed98-a469-4536-ade2-f981bc1d605e). Это собственное приложение Microsoft, которое выдаёт токены для Exchange Online, Microsoft Graph и OneDrive для бизнеса. Одно успешное согласие даёт оператору работающие токены для всей поверхности Microsoft 365, при этом в журналах Entra это выглядит как обычное приложение Microsoft.
Активность оператора исходила из сети AS45102 (Alibaba Cloud), а в строке User-Agent использовались "node" и "undici" - характерные признаки HTTP-библиотек Node.js. Этот же номер автономной системы наблюдался в обеих версиях Tycoon 2FA примерно с 10 апреля 2026 года. Шаблон URL Check Domain (shivacrio[.]com/bytecore~tx1j8) совпадает с регулярным выражением, опубликованным TRU в апрельском обновлении, что подтверждает эффективность существующих методов обнаружения.
Цепочка заражения включает пять слоёв. Первый - HTML-страница, возвращаемая Cloudflare Workers, с зашифрованным AES-GCM содержимым, расшифровываемым в браузере жертвы. Второй - скрипт, выполняющий антианализ: проверку на headless-браузеры, подавление клавиш F12 и Ctrl+U, ловушку с debugger, а также запрос к ipinfo.io для блокировки исследователей, облачных провайдеров, песочниц, вендоров безопасности, AI-краулеров и потребительских VPN. Список блокировки расширен до 230 записей. Кроме того, кампания ограничена по времени: после 29 мая 2026 года страница выводит слово "Expired".
Третий слой - ложная CAPTCHA с брендом Microsoft, повторяющая те же проверки. После клика выполняется GET-запрос к Check Domain, который решает, показывать ли настоящую фишинговую приманку или безобидный сайт-прикрытие "NexusCore". Четвёртый слой - сама приманка: уведомление о голосовой почте Microsoft 365 с пошаговой инструкцией скопировать код и перейти на microsoft.com/devicelogin. Пятый слой - коммуникация с командным сервером через шифрованные запросы AES-CBC со статическим ключом.
Ключевая особенность атаки в том, что она не пытается перехватить пароль или обойти многофакторную аутентификацию. Протокол Device Authorization Grant изначально не имеет криптографической привязки между запрашивающим устройством и личностью пользователя. Жертва вводит код на подлинной странице Microsoft, проходит MFA (многофакторную аутентификацию) - и всё это на настоящей инфраструктуре Microsoft. Проблема в том, что она разрешает выдачу токенов устройству злоумышленника. MFA срабатывает, но не защищает от этой схемы.
В журналах Entra было зафиксировано, что после согласия оператор в течение секунд начал использовать токены для Exchange Online и Microsoft Graph. Даже после отзыва токенов система продолжала получать запросы с ошибкой 50173 ("срок действия предоставленного разрешения истёк из-за отзыва") - это сильный сигнал для расследования. В отчёте eSentire указано, что специалисты SOC немедленно изолировали пострадавшие учётные записи, отозвали активные сессии Microsoft Graph и принудительно вывели пользователей из всех приложений Entra.
Для защиты от подобных атак рекомендуется внедрить политики условного доступа Azure AD, блокирующие потоки аутентификации с кодом устройства для обычных пользователей, и требовать согласия администратора на все сторонние OAuth-приложения. Также следует включить непрерывную оценку доступа (CAE), чтобы отзыв токенов действовал почти мгновенно. Обнаружить компрометацию помогут запросы KQL, проверяющие входы от приложения Microsoft Authentication Broker с необычными User-Agent ("node", "undici"). Важно также регулярно проверять почтовые правила, выданные согласия OAuth и настройки пересылки.
Вывод: ликвидация инфраструктуры фишинговых наборов не уничтожает самих операторов. Они быстро адаптируются, меняя тип приманки, но оставляя неизменным код ядра. Использование легитимных платформ для отмывания репутации - Trustifi, Cloudflare Workers, ipinfo.io - стало отличительной чертой современных фишинговых сервисов. Решающее значение имеет проактивное обнаружение и быстрая реакция на инциденты, включая отзыв всей цепочки токенов.
Индикаторы компрометации
IPv4
- 130.49.117.205
- 138.249.139.6
- 142.252.171.135
- 142.252.86.104
- 166.1.241.247
- 166.1.255.233
- 166.88.219.45
- 170.168.215.64
- 172.120.234.223
- 172.120.57.92
- 172.121.59.99
- 193.228.131.161
- 45.39.175.12
- 50.118.198.26
IPv6
- 2604:4500:6:10b:0:2:1eeb:530c
- 2604:4500:6:10b:0:2:2fea:c4fb
- 2604:4500:6:10b:0:2:3fb6:cbee
- 2604:4500:6:10b:0:2:586:e3b2
- 2604:4500:6:10b:0:2:774:a001
- 2604:4500:6:10b:0:2:98cd:e9db
- 2604:4500:6:10b:0:2:b564:19b0
- 2604:4500:6:10b:0:2:ca57:4ca5
- 2604:4500:6:10b:0:2:ee45:2201
- 2604:4500:8:9::3e68:deb8
- 2a00:b703:fff2:37::1
- 2a00:b703:fff2:3b::1
- 2a00:b703:fff2:41::1
- 2a00:b703:fff2:47::1
- 2a00:b703:fff2:4b::1
- 2a00:b703:fff2:4e::1
- 2a0d:5600:124:61:0:1:7403:e7f6
- 2a0d:5600:124:61:0:1:7cfd:3531
- 2a0d:5600:124:61:0:1:7fa4:f33f
- 2a0d:5600:124:61:0:1:b7a5:1d9d
- 2a0d:5600:124:61:0:1:f718:9c0f
- 2a0d:5600:124:61:0:1:fcef:d64e
- 2a0d:5600:24:ff21:0:1:2775:73e0
- 2a0d:5600:24:ff21:0:1:3087:71de
- 2a0d:5600:24:ff21:0:1:3fed:51a4
- 2a0d:5600:24:ff21:0:1:6b36:e2f6
- 2a0d:5600:24:ff21:0:1:81db:115a
- 2a0d:5600:24:ff21:0:1:adec:d8f7
- 2a0d:5600:24:ff21:0:1:c3cf:2c47
- 2a0d:5600:24:ff21:0:1:e8d7:aa16
- 2a0d:5600:24:ff21:0:1:f35c:ca3d
- 2a0d:5600:24:ff39:0:1:5673:8177
- 2a0d:5600:24:ff39:0:1:6f4c:16dd
- 2a0d:5600:24:ff39:0:1:749e:5188
- 2a0d:5600:24:ff39:0:1:869b:9236
- 2a0d:5600:24:ff39:0:1:9b9:d19b
- 2a0d:5600:24:ff39:0:1:b23:5fe0
- 2a0d:5600:8:2e:0:1:25dd:3b4a
- 2a0d:5600:8:2e:0:1:3af1:899c
- 2a0d:5600:8:2e:0:1:62fe:e6b9
- 2a0d:5600:8:2e:0:1:65f4:6a3c
- 2a0d:5600:8:2e:0:1:6d7f:753
- 2a0d:5600:8:2e:0:1:7d4:e433
- 2a0d:5600:8:2e:0:1:96bc:d06d
- 2a0d:5600:8:2e:0:1:cc85:d594
- 2a0d:5600:8:2e:0:1:d823:a25a
- 2a0d:5600:8:2e:0:1:e2a3:6d30
- 2a0d:5600:8:94::1d9d:c800
- 2a0d:5600:8:94::3fa0:7083
- 2a0d:5600:8:94::440:e534
- 2a0d:5600:8:94::5224:ed92
- 2a0d:5600:8:94::b027:d883
- 2a0d:5600:8:94::d434:ec28
- 2a0d:5600:8:94::d439:3ac9
- 2a0d:5600:8:94::d593:6202
- 2a0d:5600:8:94::e66:fb26
- 2a0d:5600:8:94::f1eb:760f
- 2a0d:5600:8:94::f2cd:9d43
- 2a0d:5600:8:a6:0:1:57d3:a529
- 2a0d:5600:8:a6:0:1:6a62:40cb
- 2a0d:5600:8:a6:0:1:b95f:905f
- 2a0d:5600:8:a6:0:1:c2ee:fb2b
URLs
- 0fwkme.nmpjkg.ru/machlo@6ysnl6v
- 0ji5o.drogdordr.ru/gando$qokizy0l
- 0ku58.udxbjl.ru/chiriya$5wpvjip
- 0ssnm.nmpjkg.ru/kabutar$06scpdp
- 0w1fcb.lnlwyw.ru/chiriya@eafr0
- 1fp.rupjpnsj.ru/B33X/
- 2j6sy7.bnschb.ru/kabutar!jtvhr
- 2ktug4.gijbwpyq.ru/kella!5gehjx
- 2m3jg.zpimlc.ru/rand@d1s8l2x9
- 2tduo1.kxazpjep.ru/jawari@pcwcg8p
- 2u13.dolmstran.ru/CQx9g/
- 36t.cuisbp.ru/chai$i8go1m
- 3pe0x.zvaznx.ru/ando$s56fx4j
- 41j.gqzxtn.ru/phudi@ja5rm
- 43yo.visitern.ru/ando!8p3e99
- 46o.djktgj.ru/machlo@l5o5fpq
- 4d.ujyzpa.ru/lice2ym/
- 4h7rue.mlniojjrwm.ru/gando$qwx7
- 4i94y.fukbaf.ru/gando$3umxlwo
- 4rs9io.bkjuy.ru/HjkZZTB3/
- 5ip.gijbwpyq.ru/loray@rgtn33
- 5pl.ifxyyqczjm.ru/nALdlB/
- 6dje.aezeib.ru/machlo$17ddj
- 6pavoh.gadyks.ru/chai@ry8wcv
- 70ocsr.kdyukk.ru/kella$96npxgm
- 71wv0.bnschb.ru/tatay!6q48i6f
- 78xp.kqnsgn.ru/loray!c92ky29u
- 7925.xvfzhzri.ru/tatay!j03et
- 7cjt.mlniojjrwm.ru/ando$hekwr
- 7iikc.bnschb.ru/loray!lla6p2nj
- 7r.oneyelato.ru/y7xMh/
- 91bl0.tjezyf.ru/jawari@0zzxrce
- 99t.vocalentr.ru/3JO93Fm/
- 9av.zktrgom.ru/tWI4p/
- 9hal.zpimlc.ru/jawari!0j4u2c
- a0ucy.gijbwpyq.ru/ando!jfhwq
- a7uuy.cuisbp.ru/rand@mc3mk5
- aajauy.ytnynj.ru/loray$5wvfti
- aik.threaw.ru/BlKkhx/
- alchoi.udxbjl.ru/chai$x67j0m
- anh8g6.zvaznx.ru/kella@e2hsdfee
- ap.ablomholti.ru/DEza8W0M/
- arr.pnkptj.ru/gando@33c0
- artist.yedrene.best/botchain~tivtef
- as65cj.crimiwa.sa.com/lani!82fa4a
- asw.cretrousteafi.icu/QsX!fgbZar
- axios/1.13.2
- axios/1.13.4
- axios/1.13.5
- axios/1.13.6
- b2qky.vxmeszv.ru/kella!8ecxhbc
- b7vdo5.ajcffp.ru/phudi$r7gphp
- b7vdo5.ajcffp.ru/phudi$r7gphp/
- bay.rifoupoumeshoo.club/cyberia~vsrfjhp
- bftzm2.lqeofyxipv.ru/rand!jote0f
- bt1fy0.ajcffp.ru/phudi!6wxwlpws
- bt1fy0.ajcffp.ru/phudi!6wxwlpws/
- btup.tjezyf.ru/loray@yescdt
- bvmugq.tjezyf.ru/chiriya!6vetdf9
- bvpg7.aezeib.ru/jawari!0ehe1
- bxfy.oustiono.ru/chai@8id82f
- c2uah.yazvbqkl.ru/QPImv5ff/
- c4s1.ytnynj.ru/jawari$0e65fi
- capital.yljdimage.com/rCKK9Y!Gz3W36fhLio
- cedar.cethaicro.co.za/synthex~gpdanhdk
- chain.toushatou.beauty/quantum~sfrpmrpq
- chair.shustoufraithookea.qpon/mori!xpzmaqlz
- chart.nigafo.download/KFiLwyNLh0!lKFSu
- chart.nigafo.download/P@pp1hy9E60rcJ0RY7a
- cloud.shailoyio.com/FqBjqG@z5bRJsOgj789
- coat.jadubo.courses/bytecore~pfyo
- coc1h1.qakaco.ru/ando@8yeo1m
- college.petristifrouja.bar/inflect~wuzfnrjp
- colombia.shoomoweajai.cyou/tamatar$hbpjurmf
- cpus.hhswwqz.ru/Zl5uza/
- cruise.reafraiyousteaga.qpon/deeplink~lrext
- d42.hqfyed.ru/phudi@q9gocv4
- da.roedgentewca.ru/9xyEa/
- dao.civushea.sbs/JFlgjDl2EjVzb!FZqcFbzoH
- dfzr8b.ytnynj.ru/phudi!x27344k
- donation.cewiobu.center/aQ@DA6ah3
- dt.remidro.ru/puWf/
- dubai.vaikaza.sa.com/cortex~hcgho
- dud9.nmpjkg.ru/phudi$15naozc
- dzuj.aezeib.ru/kella$d7y3ty
- e.goowevea.digital/GEmwXMQf@4eL53ZF4
- e6gl.lqeofyxipv.ru/machlo@4k874lsg
- ed47.eqgegucq.ru/SaqM/
- eevgd.djktgj.ru/kella!5jpk2g
- egeb.lnlwyw.ru/chiriya@8zqaozu
- eurxo.hxnywi.ru/chiriya@0m5oy4
- f1mifn.ajcffp.ru/machlo$fv21fp9
- fax4d.kdyukk.ru/kabutar$7ne9j5d
- fl82g.gadyks.ru/machlo!19ks0
- flirpg.nmpjkg.ru/loray!j0j4um
- fupz5.cuisbp.ru/phudi!hecjd8n
- g1t.kolivax.ru/ckYHFJN/
- g7.horestnou.ru/0cGLdK5/
- ge4x.purpxqha.ru/ando!readlz
- geb2od.lqeofyxipv.ru/machlo$5u7f5w7
- gncgo.bnschb.ru/gando!a26bu
- gqye.qlujwb.ru/machlo$o8w81e
- grcgo.hxnywi.ru/phudi$6ixh2
- grcgo.hxnywi.ru/phudi$6ixh2/
- gremlin.craifishi.business/JDjshI!j1X
- gx.pdpdocja.ru/xOmlQb/
- h1p3.ajcffp.ru/chiriya!xogyvyyu
- he4l.jokxocpy.ru/eTvJ/
- heltnu.v-bnhatn.ru/phudi!ilrrazh
- huto9.ajcffp.ru/tatay!l6jjb9
- i008.glatrcisfx.ru/machlo$7j0gwc
- i1e7.uishkfyv.ru/chai$qfcd44ma
- i1ivp9.kdyukk.ru/chai!34aifoc
- i57bn.lqeofyxipv.ru/tatay$3ifuqb
- international.fesxtmc.com/2zbyaS9u2sI@oYU3r0q2P9c4hLWH
- ionic.tehipio.ink/NAs7P9!D62Jri18pL
- iw5ir.aezeib.ru/rand$e6t3o
- j1m6g0.ajcffp.ru/kella!nbr51
- j9l2d.kqnsgn.ru/rand@43m0rr
- jcmhy.zvaznx.ru/machlo!53pwpie
- jejfmk.kdyukk.ru/chai!15evc12n
- jhn80.ntonteral.ru/kella$9pv05
- jroyy8.aldiwe.ru/chiriya!bc8x7
- jui.osejonco.ru/r0lfuHO4/
- jymwd1.aldiwe.ru/ando@blv7cam
- k5d0r.tzgozx.ru/chiriya$990iacsn
- l1h.toliviraxen.ru/MzobBPAf/
- leopard.teashaboulouve.qpon/barfi$ckwup
- lhe9.idmquc.ru/loray@ban3j
- m4grhs.revishbos.ru/ando@aojwa9
- mau8h.mftvowd.ru/phudi@1w0ksp6y
- mdw.viugbu.ru/gando$567g
- melon.teashaboulouve.qpon/kanjari!nxqifmv
- mosquito.dralilai.beauty/bytecore~qmbpdnr
- mpob8f.aezeib.ru/machlo$bse9vw
- mwvn.wqaaslir.ru/gando$ii3x1h8r
- n1.gamnfztl.ru/aT2Qm/
- n5ll.kdyukk.ru/tatay!6vbjsd
- n6as.cuisbp.ru/chai$j8av
- nhkh.dolmstran.ru/CQx9g/
- nukaop.biijvi.ru/jawari@s6xs9
- nv9xq.uishkfyv.ru/rand$ozspnlot
- nx7q58.zpimlc.ru/chiriya$z2r3try
- nz.freshmnind.ru/E9nFcFhuAwW2u/
- o6a0r.gqzxtn.ru/phudi@g3wxd9
- o6d4ac.br-izeffs.ru/kabutar$3pacrw
- oaiaon.lqeofyxipv.ru/chiriya!gorqo4
- ocfne8.gqzxtn.ru/jawari$qu5xbcs
- ogiv.lqeofyxipv.ru/machlo!k03npr
- oil.tracroo.it.com/kanjari$schxiev
- ojjk.threaw.ru/BlKkhx/
- ol190.lnlwyw.ru/gando@3ao0qk3
- olnisa.ru/sklad/
- ooen.pnkptj.ru/tatay@4hkii
- pdsg.lxkmxykopx.ru/UrHYeC/
- pj0ao.drogdordr.ru/phudi$11mt3
- pncf.aleonanob.ru/CqUns/
- pop3.kouvadre.ink/n!RNuaRBvF
- powershell.traibiru.world/MoN1j9!lhq6bt0QZUd3xo
- pt51.hjxjov.ru/gando$7xh8m
- q0z0yr.lqeofyxipv.ru/rand@lbjwq3
- q30zx.skfqca.ru/machlo$esabgb
- qi2tp2.zpimlc.ru/chai@idp70xb
- qjuy.virbutr.ru/kabutar!36yn8h
- qql9k.ytnynj.ru/gando@4fzmo
- qs1ywa.vsmaemhjvk.ru/vHFigT/
- qsb9.purpxqha.ru/phudi!kki1ln6
- qsx6a.aldiwe.ru/jawari!zewbbt
- qusu7.viugbu.ru/kabutar!5gfdh67
- qz92.gadyks.ru/tatay!j5ty6ra
- qzbyx8.aldfphv.ru/gando$xico6
- r0xl.nmpjkg.ru/jawari!276a2
- rk.tundabloom.ru/PasECe4vkHeZ/
- rknbj.ntonteral.ru/tatay$1gm3x
- ruv8d9.warthydri.ru/gando!0h5o7zxf
- rvco.jnfemo.ru/loray!h3bym
- s4v9uo.hqfyed.ru/tatay$chmkj
- s86.mlniojjrwm.ru/tatay!r0zmlg
- screen.thougai.beer/deeplink~kzgxgg
- shirt.roowothonio.cyou/taata!pnfnkxy
- sj1d.watcqbht.ru/7tYH/
- smn5.udxbjl.ru/chiriya!7ry60
- spark.shoupeatai.com/fwefO2D9nHcG@gocEQC6sK
- storm.thobewoofricrou.qpon/shapaki!gqhovo
- stostiyai.sistaidru.com/AzY2lX!X6pOuA
- support.traibiru.world/MoN1j9!Ihq6bt0QZUd3xo
- t1f7.zpimlc.ru/kella!ne4vygt1
- t4qo.zpimlc.ru/ando$r36ztx
- t8b9c.uishkfyv.ru/jawari$tiu7xtc
- tajikistan.noyaidetipio.qpon/chod$upcrib
- toad.yioso.beer/deeplink~lbwxph
- twvc.lnlwyw.ru/machlo$y9ndw4ic
- tymu.r2g69i65d.ru/Vz690a/
- tz5y.udxbjl.ru/rand!p833a5no
- u8dmr.aezeib.ru/chiriya$kxo3l
- ufw.xcsyiuul.ru/VgRu6z/
- uhp.mlniojjrwm.ru/tatay@718zo
- ujrz.uishkfyv.ru/rand@5mg7rnnu
- upjgt6.djktgj.ru/rand!7wj0n
- ux2.hifohd.ru/LQlm/
- uz5k.vsmaemhjvk.ru/vHFigT/
- v6o3z.purpxqha.ru/ando!e93x7jk
- v6wh.ablomholti.ru/DEza8W0M/
- varnish.widoupoo.network/1C@Al7jhc
- ve.aleonanob.ru/CqUns/
- vla8.ntityptatury.ru/QhNGlGa/
- vp91ht.zvaznx.ru/loray$ygp7y6
- vph6l.zpimlc.ru/ando!2vcdmx
- vqmmx.pnkptj.ru/gando!hknpgzv
- vtsz.aezeib.ru/kabutar!7jok8rj
- vu.pdglkps.ru/2S9FJ90/
- vx.wildbberis.ru/TUrOKQf/
- w0re.stadrourea.ru/barfi!4yroa
- w2cc.pnkptj.ru/kella@aok5y
- w3ff.aezeib.ru/tatay!nasmd
- w8.mzwxwdjyr.ru/cDDuTc/
- wa.auoranest.ru/LorC4gArX/
- wjgx.jaamzjd.ru/machlo!gdcrwj
- wul.ulxmrerpi.ru/XfCgPt/
- www.alnaharegypt.com/t~467369
- xl.rknqkmex.ru/cbWJFhxm/
- xr6o.hqfyed.ru/machlo@qn6yj7
- xue1y.kdyukk.ru/kabutar@iagsc3u
- xuon.ajcffp.ru/kabutar@bhcqm2x
- y0hk.ajcffp.ru/phudi$iyqlv
- y71j.enoqeg.ru/ando$e8k5dhct
- yozgu.aldfphv.ru/kabutar@1ut8n
- ysylj.tljepz.ru/kabutar@o10lcug
- yx3cf5.gijbwpyq.ru/chiriya@ywbxc
- z5u.mlniojjrwm.ru/tatay@q8uc
- zhf.aleonanob.ru/CqUns/
- zxf1l.jbvlyhre.ru/nwxlN/
- zyvk.fgaiuin.ru/vEWf_VsEQpE6SZ7Y1x7k/
