Масштабная фишинговая кампания с использованием инструментария Device Code Lab (DCL) вышла за рамки простой кражи учётных данных. Новое исследование инфраструктуры злоумышленников показало, что операторы этого набора инструментов не только расширили парк серверов, но и сделали доступными без аутентификации панели управления, предназначенные для полного контроля над скомпрометированными почтовыми ящиками Microsoft 365. Речь идёт не просто о перехвате токенов, а о создании полноценной платформы для постэксплуатационного взаимодействия с корпоративной инфраструктурой жертвы.
Описание
Обновлённые данные об инфраструктуре DCL демонстрируют типичную для сложных киберопераций картину: используются узлы, разбросанные по разным юрисдикциям и провайдерам. Среди новых адресов фигурируют серверы в Бангладеш, Великобритании, США. Аренда машин осуществляется у HostPapa, DigitalOcean и Amazon. Однако наиболее тревожным сигналом является не география, а характер используемых доменов. Вместо покупки свежих имён операторы применяют тактику компрометации легитимных ресурсов или захвата доменов, которые уже имеют определённую репутацию. Ярким маркером служит паттерн "secure.*": домены "secure.bdwebhub[.]com", "secure.einco[.]com[.]br", "secure.technebula[.]site" де-факто являются взломанными узлами, на которые был установлен управляющий сертификат от основного бэкенда DCL ("miami-techinc[.]com"). Как документ исследования подтверждает, этот приём помогает атакующим обходить репутационные фильтры, опираясь на доверие к уже существующим доменам, чьи основные страницы либо не работают, либо выводят заглушку.
Самый серьёзный вывод из нового исследования касается не расширения списка IP-адресов, а обнаружения полного набора функций для работы с почтой. Путь "/ui/mailbox.html" оказался общедоступным на серверах DCL. Это значит, что любой, кто знает адрес, может открыть интерфейс, который копирует внешний вид Outlook Web App. Оператор, захвативший токен доступа жертвы, через этот интерфейс получает возможность работать с её почтовым ящиком почти так же, как сам владелец. Система поддерживает переключение между разными скомпрометированными учётными записями: в адресной строке используется параметр "?token=N", где N - внутренний числовой идентификатор украденного токена.
Перечень доступных операций впечатляет. Злоумышленник может читать все папки, выполнять поиск писем, отвечать на них, пересылать, удалять, архивировать. Работа с вложениями ограничена объёмом до 4 мегабайт на одно письмо. Особого внимания заслуживает функция управления правилами для входящих писем. Через вкладку "Inbox Rules" атакующий может создать правило пересылки, которое будет копировать все новые письма жертвы на внешний адрес. При этом интерфейс корректно обрабатывает де-легированный доступ: если токен не имеет прав администратора, создание правил блокируется, но это лишь вопрос категории полученного доступа.
Дополнительные модули, доступные без аутентификации, раскрывают мышление разработчиков DCL. Модуль "listener" позволяет настроить фильтры на входящие письма по ключевым словам или регулярным выражениям. Вредоносная программа может в реальном времени отслеживать переписку и сигнализировать о появлении определённых тем, например, паролей или банковских переводов. Модуль "email-sorter" предназначен для массовой обработки адресов: он извлекает контакты из скомпрометированных ящиков, проверяет их на валидность, отсеивает личные почтовые сервисы вроде Gmail и ProtonMail и оставляет только корпоративные адреса Microsoft 365 или Google Workspace. Такая подготовка фид для повторных атак - это прямая угроза цепочкам поставок и партнёрским коммуникациям.
Отдельно стоит выделить генератор SVG-вложений, который прямо указывает на цель - обход Microsoft Defender for Endpoint (MDE). SVG-файлы могут содержать встроенный JavaScript, выполняющийся в браузере. Создание таких файлов прямо в панели управления DCL показывает, что авторы инструментария глубоко изучили механизмы защиты Microsoft и активно ищут способы их преодоления. Это уже не просто фишинг, а целенаправленная разработка средств обороны.
Практические последствия для бизнеса очевидны. Компаниям, использующим Microsoft 365, необходимо учитывать, что кража сессионного токена через Device Code Lab - это не просто утечка пароля, а практически полная передача контроля над почтовым ящиком. Атакующий может не только читать письма, но и скрыто изменять подпись жертвы, настраивать автоответы, создавать правила пересылки, генерировать ссылки для анонимного доступа к файлам OneDrive, а также использовать захваченный аккаунт для рассылки фишинговых писем уже от имени доверенного лица. Последний пункт особенно опасен: сочетание украденного сессионного токена и SMTP-интерфейса для отправки писем делает последующие атаки крайне убедительными для получателей.
Тенденция, которую подтверждает это исследование, тревожна. Рынок фишинговых инструментов эволюционирует от простых страниц входа к полноценным платформам постэксплуатации. Операторы DCL чётко знают технические детали защиты Microsoft и закладывают функции их обхода. Для ИБ-специалистов это означает необходимость смещать акцент: недостаточно просто блокировать фишинговые ссылки - требуется мониторинг аномальной активности внутри почтовой системы, особенно в части правил пересылки, настроек почтовых ящиков и работы с делегированным доступом. Игнорирование этого слоя защиты делает любые усилия по предотвращению кражи токенов бессмысленными, так как даже единичный успешный захват даёт злоумышленнику ключи от всего корпоративного коммуникационного центра.
Индикаторы компрометации
IPv4
- 104.21.78.8
- 104.21.85.226
- 104.219.239.125
- 107.172.151.3
- 165.245.167.52
- 172.67.211.222
- 172.67.214.105
- 172.81.130.130
- 192.3.225.100
- 192.3.225.103
- 23.94.232.218
- 23.94.232.236
- 67.215.253.44
Domains
- 011pump.fun
- api.babalfashion.com
- api.controltkeusa.com
- api.skysharegroup.com
- babalfashion.com
- bluebellscare.com
- bluecollaracademy.us
- brokerslatinos.com
- browsegadgetzone.sa.com
- docseef.com
- docspacepro.com
- guiadahospedagem.com.br
- kraftmansplay.com
- mail.babalfashion.com
- miami-techinc.com
- petsawise.com
- seasfax.com
- secure.bdwebhub.com
- secure.einco.com.br
- secure.technebula.site
- skysharegroup.com
- skysharesgroup.org
- tgcwuzcq4q.vibrazil.com
- www.brokerslatinos.com
- www.docspacepro.com
- www.miami-techinc.com
- www.petsawise.com