Исследователь информационной безопасности обнаружил готовый инструмент, который позволяет злоумышленникам управлять скомпрометированными учётными записями Microsoft 365 через интерфейс, почти неотличимый от настоящего веб-клиента Outlook. Речь идёт о панели, тесно интегрированной с фишинговым прокси-сервером Evilginx (инструмент для перехвата токенов аутентификации). Находка подтверждает, что киберпреступники всё активнее автоматизируют пост-эксплуатационные действия, снижая порог входа для начинающих атакующих.
Описание
Три экземпляра этой панели были обнаружены на серверах DigitalOcean в дата-центре Санта-Клары (Калифорния) на порту 3000. Все они возвращали идентичные HTTP-заголовки и тело размером 338 882 байта - одностраничное приложение на HTML и JavaScript. Особую тревогу вызывает заголовок Access-Control-Allow-Origin: *, который в сочетании с разрешённым заголовком Authorization делает панель неограниченно доступной для подстановки API-запросов. Один из IP-адресов также обслуживал домен cdn.greenrlse.com, перенаправляющий на видеоролик с рикроллом - типичный приём вредоносных кампаний, а не легитимных тестов на проникновение.
Специалист, проводивший исследование, обнаружил три сервера, явно не принадлежащих командам красных команд. В пользу этого говорят несколько деталей: в форме добавления токена есть пункт "Токен из уведомления Telegram", периодичность обновления сессии до 90 дней (стандартный тест на проникновение длится гораздо меньше), а также функция экспорта базы данных .m365db для передачи между операторами - явный признак торговли токенами на теневых форумах.
Архитектура атаки состоит из трёх уровней. Первый - фишинговый сервер на базе Evilginx, перехватывающий токены доступа и обновления. Второй - обнаруженная панель, которая получает эти токены через встроенный интерфейс Evilginx Pro feed API. Третий - Microsoft Graph API, используемый для выполнения действий от имени жертвы. Самое примечательное: панель умеет автоматически импортировать новые токены с задаваемым интервалом (от 15 секунд до 5 минут), что позволяет атакующему видеть жертв в реальном времени сразу после завершения фишинга.
После импорта панель управляет жизненным циклом токена. Если вместе с токеном доступа захвачен токен обновления, приложение может бесшумно продлевать сессию, не требуя повторной фишинг-атаки. Для обхода блокировок браузера (CORS) используется вспомогательный скрипт refresh-proxy.js, запускаемый на машине оператора. Экспорт базы данных в JSON-файл позволяет передавать "аккаунты" другим злоумышленникам - это прямое указание на существование чёрного рынка.
Один перехваченный токен даёт доступ ко всем службам Microsoft 365, к которым жертва имеет права. Панель выводит иконки для почты, OneDrive, Teams, SharePoint, OneNote, контактов, календаря и админ-центра. При загрузке страницы оператор видит практически копию Outlook Web App и может читать письма, скачивать вложения, просматривать файлы и даже отправлять сообщения от имени жертвы. Для администратора открывается полный набор возможностей: управление пользователями, сброс паролей, изменение ролей и доступ к журналам аудита.
Исследователь отмечает, что в коде панели встречаются эмодзи - характерный признак того, что разработка велась с помощью генеративных нейросетей. Это видно в функциях для управления методами аутентификации. Например, есть кнопка для удаления всех настроек многофакторной аутентификации (MFA) у пользователя. Затем инструмент может выдать временный пропуск доступа (Temporary Access Pass) на 60 минут, который позволяет войти без MFA и задать новый фактор. Также присутствует функция "Dismiss risky user" - она удаляет пометку о подозрительной активности из Azure AD Identity Protection, то есть скрывает следы атаки от защитных систем.
Особую опасность представляет сценарий, когда фишингу подвергается администратор с глобальными привилегиями. Панель автоматически распознаёт такие роли при запросе /me/memberOf/microsoft.graph.directoryRole и разблокирует интерфейс управления всем тенантом. Тогда оператор может переназначить любые роли, удалить все средства MFA у любого пользователя, заблокировать учётную запись жертвы, а также установить правила пересылки почты для скрытого сбора данных. Этот полный набор возможностей реализован через стандартные вызовы Graph API, которые выглядят как легитимные действия приложения.
Появление такого инструмента - закономерный этап эволюции фишинговых атак. Ранее злоумышленники вручную извлекали токены из Evilginx и пользовались скриптами для работы с отдельными API. Теперь же один интерфейс, стилизованный под Outlook, позволяет любому оператору, даже с минимальными техническими знаниями, эффективно эксплуатировать захваченные учётные записи. Учитывая, что подобные панели, скорее всего, продаются или сдаются в аренду на теневых форумах, следует ожидать роста числа инцидентов, связанных с компрометацией корпоративной почты и облачных хранилищ.
Для организаций, использующих Microsoft 365, этот случай - очередное напоминание о необходимости строгих политик аутентификации. В частности, стоит ограничивать время жизни сессионных токенов, внедрять условный доступ на основе соответствия устройств и использовать средства мониторинга, способные выявлять необычную активность Graph API, например, массовые запросы к /authentication/methods или /users. Тем не менее главный вывод тревожен: злоумышленники научились красиво упаковывать технологию захвата учётных записей в простые и удобные инструменты, и гонка за защитой от них становится всё более сложной.
Индикаторы компрометации
IPv4
- 142.93.84.22
- 147.182.224.35
- 64.227.54.101
Domains
- cdn.greenrlse.com
