Масштабная фишинговая атака с использованием кодекса поведения и AiTM-перехвата затронула десятки тысяч пользователей

Фишинговые письма выдавали себя за корпоративные уведомления от отделов комплаенса или кадров. Отправители использовали такие имена, как "Internal Regulatory COC", "Workforce Communications" и "Team Conduct Report". Темы писем звучали официально: "Internal case log issued under conduct policy" (запись внутреннего дела по регламенту поведения) или "Reminder: employer opened a non-compliance case log" (напоминание: работодатель открыл дело о несоответствии). В тексте сообщалось, что инициирована проверка соблюдения кодекса, и получателя просили открыть прикреплённый PDF-файл, чтобы ознакомиться с материалами дела.

Письма были стилизованы под корпоративные рассылки. Вверху каждого письма значилось, что оно отправлено через "уполномоченный внутренний канал", а ссылки и вложения "проверены и одобрены для безопасного доступа". В конце письма зелёный баннер информировал, что содержимое зашифровано с помощью сервиса Paubox, который обычно используют для HIPAA-совместимых коммуникаций (стандарт безопасности медицинских данных). Всё это создавало иллюзию законности и настоятельной необходимости действовать.

Анализ инфраструктуры рассылки показал, что письма отправлялись через легитимный сервис доставки электронной почты, вероятно, с облачной виртуальной машины под управлением Windows. Адреса отправителей были подставными, но сами домены, скорее всего, контролировались злоумышленниками. В документе Microsoft отмечает, что такой подход позволяет обходить многие стандартные фильтры, так как письма выглядят как полностью аутентифицированные.

Внутри PDF-файлов, названных, например, "Awareness Case Log File - Tuesday 14th, April 2026.pdf" или "Disciplinary Action - Employee Device Handling Case.pdf", содержалось описание вымышленного процесса проверки и ссылка "Review Case Materials". При переходе по этой ссылке пользователь попадал на один из двух злонамеренных доменов (например, acceptable-use-policy-calendly[.]de или compliance-protectionoutlook[.]de). На странице отображалась CAPTCHA от Cloudflare с сообщением, что она нужна для проверки "валидной сессии". CAPTCHA служила барьером для автоматических анализаторов и изолированных сред ("песочниц").

После прохождения первого теста пользователь перенаправлялся на промежуточную страницу, где ему сообщали, что запрашиваемая документация зашифрована и требует аутентификации учётной записи. Хотя эта стадия напоминает фишинг с кодом устройства, исследователи смогли подтвердить только последующую часть атаки - перехват аутентификации. Затем жертва нажимала кнопку "Review & Sign" и вводила свой адрес электронной почты. Следовал второй раунд CAPTCHA - теперь уже с выбором изображений. После успешного прохождения появлялось сообщение: "Verification completed successfully" (проверка выполнена успешно), и система якобы готовила дело.

На финальной странице пользователя информировали, что все материалы по проверке кодекса поведения "безопасно зарегистрированы", "снабжены метками времени" и "хранятся в централизованной системе отслеживания комплаенса". Затем предлагалось назначить время для обсуждения дела - для этого требовалось войти в учётную запись. Кнопка "Sign in with Microsoft" перенаправляла на подлинную страницу аутентификации Microsoft, но весь трафик проходил через прокси-сервер атакующих. Это классический пример атаки "посредник между клиентом и сервером" (Adversary-in-the-Middle, AiTM). В отличие от простого сбора паролей, AiTM перехватывает сеансовые токены аутентификации в реальном времени, что позволяет обойти большинство реализаций многофакторной аутентификации (MFA), не рассчитанных на защиту от такого типа угроз.

Кампания длилась с 06:51 UTC 14 апреля до 03:54 UTC 16 апреля 2026 года. Несколько волн рассылок следовали одна за другой, причём в часы пик отправлялись тысячи писем. Исследователи подчёркивают, что ловушки были тщательно проработаны: HTML-шаблоны выглядели профессионально, а текст содержал отсылки к реально существующим названиям организаций, что повышало доверие. Создание срочности с помощью угрозы дисциплинарного взыскания заставляло жертв действовать импульсивно.

Последствия атаки очевидны: захват сеансовых токенов даёт злоумышленникам мгновенный доступ к учётным записям без необходимости вводить пароль заново. Используя полученные токены, они могут читать почту, похищать данные, распространять атаку внутри организации или запускать другие вредоносные действия. Особую опасность представляет то, что жертвы, скорее всего, даже не заметят взлома, так как сессия остаётся активной до истечения срока действия токена.

Microsoft рекомендует организациям усилить защиту несколькими способами. Прежде всего - настраивать политики условного доступа, требующие устойчивого к фишингу многофакторного подтверждения личности, например, с помощью ключей FIDO2 или приложения Microsoft Authenticator. Также важно включить автоматическое прерывание атак в Microsoft Defender XDR, которое может блокировать компрометацию уже в процессе. Кроме того, следует использовать защиту сети в Microsoft Defender для конечных точек и переход на браузеры с поддержкой SmartScreen, который блокирует вредоносные сайты. Наконец, ключевую роль играет обучение пользователей: они должны с критикой относиться к любым сообщениям, требующим срочных действий и перехода по ссылкам, даже если письмо выглядит официальным.

Эта кампания - яркий пример эволюции фишинга. Злоумышленники комбинируют качественную социальную инженерию, легитимные сервисы доставки и технику AiTM, чтобы обходить современные средства защиты. Организациям всех отраслей стоит пересмотреть свои стратегии безопасности электронной почты и аутентификации, иначе следующая атака может застать врасплох.

Domains

• acceptable-use-policy-calendly.de
• cocinternal.com
• compliance-protectionoutlook.de
• gadellinet.com
• harteprn.com

Emails

• cocpostmaster@cocinternal.com
• documentviewer@na.businesshellosign.de
• m365premiumcommunications@cocinternal.com
• nationaladmin@gadellinet.com
• nationalintegrity@harteprn.com

SHA256

• 11420d6d693bf8b19195e6b98fedd03b9bcbc770b6988bc64cb788bfabe1a49d
• 5db1ecbbb2c90c51d81bda138d4300b90ea5eb2885cce1bd921d692214aecbc6
• b5a3346082ac566b4494e6175f1cd9873b64abe6c902db49bd4e8088876c9ead