Сложная фишинговая кампания обходит MFA, целясь в пользователей Microsoft 365 и Okta

Кампания, активная по состоянию на 10 декабря, использует многоступенчатую схему. На первом этапе жертвы получают фишинговые письма с тематикой, связанной с выплатами и компенсациями, например, «Требуются действия: ознакомьтесь с информацией о вашей зарплате и бонусах на 2026 год». Письма могут содержать прямые ссылки, скрытые через сервисы сокращения URL, или вести к PDF-вложениям с паролем. Отправители часто маскируются под легитимные службы, такие как ADP, используя скомпрометированные почтовые ящики, в том числе связанные с платформой Salesforce Marketing Cloud.

Переход по ссылке ведёт на фишинговую страницу, имитирующую вход в Microsoft 365 и размещённую на доменах-подделках, таких как employee-hr-portal[.]com. Страница выступает в роли прокси, перенаправляя запросы жертвы к настоящим серверам Microsoft, что сохраняет все фирменные элементы интерфейса и повышает правдоподобие. Ключевым элементом атаки является вредоносный JavaScript-код, внедряемый в страницу. Этот код перехватывает ответы от Microsoft, в частности от эндпоинта "GetCredentialType". Если система обнаруживает, что пользователь аутентифицируется через Okta (это видно по полю "FederationRedirectUrl"), скрипт динамически подменяет URL для перенаправления. В результате жертва попадает не на настоящий портал Okta своей организации, а на вторую фишинговую страницу.

Второй этап атаки происходит на доменах, мимикрирующих под Okta, например, sso[.]okta-secure[.]io. Эти страницы также действуют как прокси к реальному тенанту Okta целевой компании, параметр которой передаётся в URL. Для кражи данных используются два скрипта. Первый перехватывает метод "window.fetch" в браузере жертвы, чтобы перенаправлять все запросы через сервер злоумышленника. Второй скрипт, "inject.js", активно следит за действиями пользователя: он фиксирует введённое имя пользователя, а затем каждую секунду проверяет cookies на предмет появления критических сессионных токенов Okta, таких как "JSESSIONID" или "sid". Похищенные данные отправляются на сервер атакующих через эндпоинт "/log_cookie".

Получив валидные сессионные токены, злоумышленники могут импортировать их в свой браузер, получая полный доступ к аккаунту жертвы в обход MFA. Это обеспечивает им устойчивость (persistence) в системе. Эксперты отмечают, что инфраструктура кампании размещена на Cloudflare, а для защиты от анализа используется механизм Cloudflare Turnstile. Кроме того, в URL-путях обнаружены закодированные метаданные для отслеживания эффективности кампании, что указывает на высокий уровень организации.

Для выявления инцидентов специалисты Datadog рекомендуют анализировать логи Okta и Microsoft 365. В Okta следует обратить внимание на события "user.authentication.auth_via_mfa" с исходом "FAILURE" и причиной «FastPass declined phishing attempt», где в отладочных данных может фигурировать фишинговый домен. Также полезны события "policy.evaluate_sign_on" и "user.authentication.verify", указывающие на аномалии, такие как вход с нового устройства или из необычного местоположения, связанного с Cloudflare. В журналах Microsoft 365 можно искать события "MailItemsAccessed" с характерными темами фишинговых писем.

Данная кампания демонстрирует эволюцию тактик фишинга, когда атаки направлены не просто на кражу паролей, а на перехват всей сессии аутентификации. Это подчёркивает важность перехода на устойчивые к фишингу методы MFA, такие как FIDO2-ключи, и необходимость постоянного обучения пользователей кибергигиене. Организациям, использующим Okta и Microsoft 365, рекомендуется проверить свои логи на наличие указанных индикаторов компрометации.

Domains

• benefitsaccessportal.com
• benefitsadminportal.com
• benefitsapp001.com
• benefitsapp01.com
• benefitscentralportal.com
• benefitsdigitalportal.com
• benefitsemployeeaccess.com
• benefitsgatewayportal.com
• benefitsglobalportal.com
• benefitshubportal.com
• benefitsmemberportal.com
• benefitsnews.io
• benefitsquickaccess.com
• benefitssecureportal.com
• benefitsselfservice.com
• benefitsviewportal.com
• benefitsworkspace.com
• businessemailportal.com
• corporate-hr-portal.com
• employee-hr-portal.com
• hrbenefitsportal.com
• mybenefits-portal.com
• office365mailsecurity.com
• okta-access.com
• okta-cloud.com
• oktacloud.io
• okta-panel.com
• okta-secure.cloud
• oktasecure.io
• okta-secure.io
• oktasecured.com
• secure-hr-portal.com
• securemailboxaccess.com
• securemail-portal.com

Emails

• notifications@benefitsfactor.com