Специалисты Hexastrike обнаружили мощный фишинговый набор CodeStorm, нацеленный на пользователей Microsoft 365

В основе кампании, активной как минимум с января 2025 года, лежит сложная многоступенчатая атака. Злоумышленники используют скомпрометированные учётные записи и арендаторы Microsoft 365 для рассылки фишинговых писем и размещения своей инфраструктуры. Специалисты Hexastrike выявили не менее 400 доменов верхнего уровня, контролируемых атакующими, и примерно 12 000 поддоменов, задействованных для масштабирования операций. При этом более сотни подтверждённых случаев компрометации арендаторов уже связаны с деятельностью CodeStorm.

Первоначальные волны атак используют общие темы, чтобы захватить случайных жертв. Однако следом идёт быстрый переход на поддомены, заточенные под конкретные бренды и организации. Это позволяет проводить целенаправленный фишинг. Основными регионами атак стали Западная Европа и Северная Америка, хотя активность фиксируется и в других частях света.

Интересно, что злоумышленники не имеют явной отраслевой специализации. Новый отчёт Hexastrike показывает, что их цели разбросаны по десяткам секторов: от производства и здравоохранения до финансов и госсектора. Такой разброс указывает на оппортунистический характер атаки, когда операторы просто преследуют следующую организацию, доступ к которой открывают украденные учётные данные.

Техническая сложность набора впечатляет. Для доставки вредоносных ссылок используются как прямые ссылки в письмах, так и целые цепочки перенаправлений через легитимные сторонние платформы. Файлы PDF с логотипами целевых организаций размещаются на таких сервисах, как SharePoint, Microsoft Sway и allo.io, а уже оттуда ведут на фишинговые страницы. Кроме того, применяются HTML-вложения, QR-коды для перехвата аутентификации на мобильных устройствах и сервисы сокращения ссылок.

Сам фишинговый набор обладает мощными механизмами защиты от обнаружения. Перед тем как показать жертве поддельную страницу входа в Outlook, он требует пройти проверку Cloudflare Turnstile, защищающую от автоматизированного анализа. Кроме того, используются методы обфускации JavaScript, блокировка клавиатурных комбинаций для открытия инструментов разработчика (например, F12) и "часовой", который останавливает выполнение кода при обнаружении отладчика. Второй этап с кодом для кражи данных размещается в облачном объектном хранилище Tencent Cloud, что является одним из ключевых признаков, связывающих кампанию с Storm-1167.

После успешного захвата сессии злоумышленники действуют быстро. Они создают почтовое правило Outlook с названием LinkedIn, которое скрывает все уведомления, на которые жертва могла бы ответить. В ряде случаев они проводят разведку в SharePoint по ключевым словам (платежи, учётные данные) и рассылают фишинговые ссылки дальше по контактам жертвы.

Эксперты подчёркивают, что успех CodeStorm основан не на технических прорывах, а на дисциплинированной интеграции злоупотребления доверенными сервисами, перехвата многофакторной аутентификации в реальном времени и последовательных, хотя и лёгких, действиях после взлома. Традиционные периметровые защиты и проверка репутации отправителя здесь малоэффективны, так как атака идёт с легитимных учётных записей и платформ. Надёжная защита требует внедрения устойчивых к фишингу методов аутентификации, таких как ключи FIDO2, строгих политик условного доступа и средств корреляции активности учётных записей, почтовых ящиков и SharePoint.

Domains

• *-1317754460.cos.ap-seoul.myqcloud.com
• *-1323985617.cos.ap-seoul.myqcloud.com
• *-1388504898.cos.ap-seoul.myqcloud.com
• *-1417693617.cos.ap-seoul.myqcloud.com
• advantagedigitalstrength.de
• afemalesewedblessings.com.de
• ancientexplorer.de
• apptoimprovesecurity.de
• astronautosogni.de
• astronomy.com.de
• awomanknitaspirations.com.de
• bell.com.de
• bending.com.de
• blooming.com.de
• blossom.com.de
• breathlessness.com.de
• builtinlayers.de
• caringprecision.de
• cephalexinv.de
• certifiedconnect.de
• childrenreadclouds.de
• chiminghour.de
• clarityfirstdigital.de
• clarityinbranding.de
• clarityindesign.de
• clearbrandmessage.de
• clearcommunicationhub.de
• clearconceptsdesign.de
• clearinterfacedesign.de
• clearlayout.de
• clearmodern.de
• clickconfidence.de
• codeforsecurity.de
• colorfullandscapetrain.de
• confidencehub.de
• confidenceinbuild.de
• confidenceindetail.de
• confidencesphere.de
• confidentlyexecuted.de
• consistentcollaborators.de
• consistenthostingsolutions.de
• consistentlystructured.de
• contemplative.com.de
• correspondence.com.de
• cos.ap-seoul.myqcloud.com
• counteddown.com.de
• createsdependability.de
• creations.com.de
• credbilityandidentity.de
• credibilityhub.de
• credibilityprotected.de
• crediblemarketsignals.de
• crediblesecure.de
• crystalharbor.com.de
• curated.com.de
• current.com.de
• curved.com.de
• customersafenet.de
• cyberprofessionalism.de
• daybreak.com.de
• definedarchitecture.de
• delivered.com.de
• dependablecreativity.de
• dependableinnovations.de
• designreducesuncertainty.de
• designyourpeace.de
• detail-oriented.de
• digitalbrandclarity.de
• digitalconduct.de
• digitalcredibilityhub.de
• digitaleffectiveness.de
• digitalforceadvantage.de
• digitalframeworksforsuccess.de
• digitallyempowered.de
• digitallygerman.de
• digitalmarkettransparency.de
• digitalpresenceexpert.de
• digitalproficiency.de
• digitalreputationclarity.de
• digitalstrengthhub.de
• digitalsuccessframeworks.de
• digitaltrustbase.de
• digitaltrustlayer.de
• diligentdomain.de
• disappeared.com.de
• domainfoundation.de
• domaintrustlayer.de
• dreamscapes.com.de
• dreamsintheframe.de
• dreamycloudletters.de
• dynamicgrowthsystems.de
• echoednostalgia.de
• echoesoftheevening.de
• ecofriendlycommunication.de
• efficiencyworks.de
• efficientlycompetitive.de
• effortlessdesignclarity.de
• elevatebrandimage.de
• embodied.com.de
• encapsulated.com.de
• encouraged.com.de
• enlightenment.com.de
• envelope.com.de
• etched.com.de
• eurotrustsignals.de
• evoked.com.de
• exactbusiness.de
• exactwebpresence.de
• executionwithconfidence.de
• exemplaryexecution.de
• exploring.com.de
• extensioneurope.de
• faintly.com.de
• fantasies.com.de
• fierce.com.de
• findingtheearth.de
• firelight.com.de
• flawlessoperations.de
• fondness.com.de
• fostered.com.de
• fosteringtrust.de
• foundationforprofessionals.de
• foundationofprofessionals.de
• fracturedmoon.de
• frameworksforsuccess.de
• friendlystray.de
• futurereadyinfrastructure.de
• futures.com.de
• germanidentityhub.de
• girlwithanotebook.de
• glimmeringreflections.de
• glinting.com.de
• glisten.com.de
• globalpreparedness.de
• goalorientedhub.de
• gradualquality.de
• gurgled.com.de
• halo.com.de
• happycloudmessages.de
• healing.com.de
• heavensentrain.de
• heavyraindaily.de
• heeding.com.de
• hints.com.de
• hopped.com.de
• identityestablished.de
• identityprofessional.de
• incandescence.com.de
• infrastructureplus.de
• innovatestructure.de
• innovativewege.de
• inquisitive.com.de
• instinctivecredibility.de
• integratedbranding.de
• intent.com.de
• intentfocusgroup.de
• intentionalmarketgroup.de
• interlaced.com.de
• intermittent.com.de
• internationalreadiness.de
• intuitiveplatform.de
• invigorated.com.de
• joviality.com.de
• justkeepgoing.de
• kept.com.de
• lamented.com.de
• lasted.com.de
• lastingtrustsecure.de
• lavender.com.de
• leading.com.de
• lifesaverapp.de
• liveliness.com.de
• localtrustworldwide.de
• longhaulconsistency.de
• longings.com.de
• longtermvaluesafe.de
• luciddesigns.de
• lustrous.com.de
• marketidentityconsistency.de
• masteringprecision.de
• maximizevisibility.de
• melodized.com.de
• melted.com.de
• mementos.com.de
• memoriesofwishes.de
• mended.com.de
• merged.com.de
• merriment.com.de
• modernbrandclarity.de
• morningmelody.de
• mountainrainreport.de
• murmuringriver.de
• musicalememorie.de
• mycredibledomain.de
• mysticalnight.de
• mythsoftheglade.de
• naturesbreath.com.de
• night.com.de
• nighttime.com.de
• nightwishdomain.de
• northernrainwatch.de
• notebookofsecrets.de
• officedatasolutions.de
• onlinepresencematters.de
• onlinesecurityapps.de
• optimumoperations.de
• orderlydesigns.de
• orderlysystems.de
• organizedenterprise.de
• overcame.com.de
• partnersincommunication.de
• partnersinconsistency.de
• patienceintherain.de
• pattered.com.de
• pause.com.de
• pearlfilledshoes.de
• pearlsandshoes.de
• perceive.com.de
• perched.com.de
• performancedelivery.de
• performancepredictor.de
• performancetactics.de
• phantasmagoric.com.de
• phosphorescence.com.de
• platformclarity.de
• platformconsistency.de
• platformease.de
• platformperformancehub.de
• playfulcloudwords.de
• portrayed.com.de
• possibilities.com.de
• powerfulpresence.de
• powerfultrustbrands.de
• prayerfulprecipitation.de
• precisionandreliability.de
• precisionandtrust.de
• primedomainauthority.de
• proclienthub.de
• prodesigncertainty.de
• professionalassurance.de
• professionalprecision.de
• professionalpresencenow.de
• professionalresultsnow.de
• progressiveplatforms.de
• protectyourcred.de
• purelysophisticated.de
• purposefului.de
• qualityclientconnect.de
• qualitygermanbrand.de
• quantifiableexecution.de
• quivered.com.de
• rainydayreflections.de
• react.com.de
• realities.com.de
• recognizeable.de
• recollect.com.de
• reflective.com.de
• reflectiveriver.de
• reinforcesintegrity.de
• relayed.com.de
• reliabilityhub.de
• reliabledigitalfootprint.de
• reliablehostinggrowth.de
• reliableplatforms.de
• reliablevisibility.de
• remembered.com.de
• rendered.com.de
• reputationenhancer.de
• respectusertime.de
• rested.com.de
• retained.com.de
• reverberations.com.de
• revisin.de
• rhythmed.com.de
• rooftopreflections.de
• rumble.com.de
• ruminatingbrook.de
• sacredraindrops.de
• sacredshowers.de
• safety.com.de
• safetyfirstsystems.de
• saluted.com.de
• sanfte-schatten-art.de
• sanfteslicht.de
• scalableinnovations.de
• scalableplatforms.de
• scattered.com.de
• secondsofchime.de
• secretsinthewind.de
• securedigitalsuccess.de
• securedomainreliability.de
• secureenvirotrust.de
• secureidentityonline.de
• secureplatforms.de
• secureuserguard.de
• secureusertrust.de
• securewebsolution.de
• secureyouronlinepresence.de
• serenades.com.de
• showcased.com.de
• sighed.com.de
• silhouetted.com.de
• simplicitymastered.de
• simplisticallysophisticated.de
• simplysophisticatedonline.de
• skylandobservatory.de
• skyopenedeyes.de
• slipped.com.de
• snoop.com.de
• soft.com.de
• softmorningtown.de
• softness.com.de
• softwhispersofnature.de
• solidreputation.de
• sophisticatedsimplicity.de
• specters.com.de
• splash.com.de
• stabledigitalframeworks.de
• stablegrowthfoundation.de
• stablegrowthhost.de
• stargazing.com.de
• stayedlit.com.de
• steadfastpartnerships.de
• steadystatebranding.de
• stellarremembrances.de
• stooping.com.de
• strategicdigitalclarity.de
• straykindnessproject.de
• streamlineduserexp.de
• strengthendigitalposition.de
• strengthensrelationships.de
• strengthenyourbrand.de
• strengthindigital.de
• strongframeworks.de
• strongscales.de
• strongsystems.de
• structuredperformance.de
• structuredsuccess.de
• structureforusability.de
• supported.com.de
• survived.com.de
• suspense.com.de
• suspension.com.de
• sustainabledialogue.de
• sustainablegrowthforce.de
• sustainscalable.de
• swaying.com.de
• systematicperformance.de
• talesofthemoon.de
• thewindnames.de
• thoroughness.de
• thoughtfulprecision.de
• timeinleaves.de
• townclockannounces.de
• traditionmeetsinnovation.de
• traditions.com.de
• traditionsofinnovation.de
• transform.com.de
• transformation.com.de
• transparentconversations.de
• treeofribbons.de
• triumphed.com.de
• trustabledomains.de
• trustedbrandinsight.de
• trusteddesignpro.de
• trusteddomainhub.de
• trustedengagement.de
• trustedmarket.de
• trustenvironmentsecurity.de
• trustfostering.de
• trustshieldplatforms.de
• trustthroughconsistency.de
• trustworthybranding.de
• trustworthygrowthhost.de
• trustydomain.de
• under.com.de
• understanding.com.de
• uninterruptedops.de
• unsurelantern.de
• unwaveringplatform.de
• uplifting.com.de
• veil.com.de
• verifieddomainspace.de
• verifiedidentityaddress.de
• verstndnisvoll.de
• visibilitydriven.de
• visiblityboost.de
• vision.com.de
• vitality.com.de
• wander.com.de
• watched.com.de
• webprofessionalism.de
• welloptimized.de
• whimsicalclouds.de
• whiskers.com.de
• whisperingwater.de
• whispersofthewind.de
• wishful.com.de
• worldwidepreparedness.de
• xdreamgifthouse.de
• yielded.com.de

MD5

• 2d728b14a9b308429eacadea8d70ef32
• 7f013322168c589bbd87f4a2244d810e

SHA256

• 6bea63d580071f34e8e9a3267fb0aefbc1c0d678b90c5c24e1d40f7f9abf62a2