Захват аккаунтов Microsoft 365, ботнет для DDoS-атак и скрытые бэкдоры: аналитики обобщили главные киберугрозы марта 2026 года

Ключевые бизнес-риски, проявившиеся в мартовских атаках, можно суммировать следующим образом. Доверенные сервисы и легитимные на вид рабочие процессы неоднократно использовались для маскировки вредоносной активности, что повышает риск позднего обнаружения в корпоративных почтовых, облачных, платёжных средах и на конечных устройствах. Наблюдаемые атаки затронули государственный сектор, финансы, здравоохранение, технологии, образование, производство и энергетику, причём риски выходили далеко за рамки первоначального проникновения, перерастая в злоупотребление токенами, удалённый доступ, кражу карт и более широкое распространение вредоносов. Скрытые многоэтапные методы доставки ослабляли ранние сигналы и замедляли расследования, увеличивая вероятность эскалации угрозы до того, как команды безопасности успевали подтвердить злонамеренное поведение. Для организаций последствия не ограничивались лишь фактом заражения, но включали мошенничество, простои, более глубокий компромисс и повышенные операционные расходы, связанные с запаздывающим реагированием.

Одной из самых примечательных угроз месяца стал фишинговый метод EvilTokens, который обходит традиционные механизмы защиты. Вместо кражи учётных данных на поддельной странице входа злоумышленники используют поток кода устройства OAuth (механизм авторизации, часто применяемый для доступа сторонних приложений к данным пользователя) Microsoft. Они обманом заставляют жертву ввести код верификации на легитимном домене microsoft[.]com/devicelogin, после чего Microsoft сама выдаёт токены доступа OAuth напрямую атакующему. Это делает атаку особенно опасной: пользователь входит через настоящую страницу Microsoft, завершает многофакторную аутентификацию и никогда не передаёт пароль на фишинговый сайт. В результате компрометация смещается от кражи пароля к злоупотреблению токенами, давая злоумышленникам доступ к ресурсам Microsoft 365 и маскируясь под нормальную активность аутентификации. Поскольку весь процесс проходит по зашифрованному HTTPS и использует легальную инфраструктуру Microsoft, ключевые сигналы атаки часто скрыты от систем мониторинга. Аналитики ANY.RUN в своём отчёте отмечают, что за одну неделю было обнаружено более 180 фишинговых URL в рамках этой кампании, нацеленной в первую очередь на технологические компании, образовательные учреждения, производственный сектор и госструктуры в США и Индии.

Параллельно активизировались угрозы для пользователей macOS. Была выявлена кампания ClickFix, нацеленная на разработчиков, использующих инструменты искусственного интеллекта, такие как Claude Code и другие. Через рекламу в Google Ads жертвы перенаправлялись на поддельную страницу документации, где их убеждали выполнить в терминале команду, приводящую к загрузке и установке стилера AMOS. Этот вредонос собирал данные браузеров, сохранённые пароли, содержимое связки ключей Keychain и конфиденциальные файлы. Однако главная опасность заключалась в последующей установке бэкдора, который обеспечивал злоумышленникам постоянный удалённый доступ к заражённому Mac через интерактивную обратную оболочку. Это трансформирует инцидент из разовой кражи данных в долгосрочный компромисс системы, что критично в корпоративных средах, где на компьютерах macOS часто хранятся ключи доступа разработчиков и важная бизнес-информация.

Для экосистемы Windows аналитики обнаружили стегера RUTSSTAGER, который использует нестандартный способ сокрытия. Вредоносная библиотека DLL хранится не в виде файла на диске, а в системном реестре Windows в шестнадцатеричном формате, что значительно затрудняет её обнаружение при первичном анализе. Этот стегер, в свою очередь, развёртывал на системе удалённый троян OrcusRAT, а также дополнительный компонент для обеспечения устойчивости, проверки системы и автоматического перезапуска трояна при необходимости. Подобные техники усложняют жизнь специалистам по реагированию на инциденты, оставляя меньше очевидных артефактов для обнаружения на ранней стадии.

Помимо целевых атак, продолжали массово распространяться классические, но эффективные фишинговые схемы. Были зафиксированы письма с вложениями в формате HTM или HTML, замаскированными под PDF-документы. При открытии такого файла запускалась поддельная страница входа, которая перехватывала учётные данные и отправляла их злоумышленникам через API Telegram Bot в формате JSON. Простота метода компенсируется его результативностью: для команды безопасности такой вложение может выглядеть как обычный документ, в то время как он уже представляет собой прямую угрозу захвата учётной записи.

Отдельного внимания заслуживает кампания SVG Smuggling, нацеленная на организации в Колумбии из государственного, финансового и энергетического секторов. Атакующие рассылали письма на испанском языке с вложенным файлом в формате SVG, который, вопреки своему основному назначению (векторная графика), содержал встроенный JavaScript. Этот скрипт локально, прямо в браузере жертвы, воссоздавал следующую стадию атаки, генерируя через blob URL поддельную HTML-страницу, имитирующую рабочий процесс с документом. Такая многоступенчатая доставка с использованием легитимных компонентов разбивает цепочку компрометации на слабые, плохо связанные между собой сигналы, что серьёзно замедляет как автоматическое обнаружение, так и ручное расследование.

В сфере электронной коммерции аналитики обнаружили активную кампанию Magecart, специализирующуюся на хищении данных банковских карт. Злоумышленники взламывали сайты интернет-магазинов, подменяли легитимные платёжные формы на своих страницах и перехватывали вводимые клиентами данные, используя для их эксфильтрации WebSocket-соединения. Кампания отличалась необычайной живучестью, оставаясь активной более двух лет и используя инфраструктуру из более чем 100 доменов с резервными вариантами доставки полезной нагрузки. Динамическое внедрение вредоносных элементов в доверенный процесс оплаты, а также передача данных вне стандартных HTTP-запросов делали эту угрозу особенно сложной для обнаружения как для владельцев сайтов, так и для платёжных систем.

Завершает обзор угроз марта ботнет Kamasers, представляющий собой инструмент для проведения многокомпонентных DDoS-атак. Его опасность выходит за рамки просто организации сетевых флудов. Ботнет способен выполнять атаки на прикладном и транспортном уровнях, поддерживая методы на основе HTTP, TLS, UDP, TCP и даже GraphQL. Более того, он может выступать в роли загрузчика для доставки дополнительного вредоносного ПО, что превращает заражённую систему не только в орудие для атаки на третьи стороны, но и в плацдарм для более глубокого проникновения в сеть организации-жертвы. Устойчивости ботнета способствует использование техники Dead Drop Resolver, когда адреса серверов управления извлекаются не напрямую, а через легальные публичные сервисы, такие как GitHub Gist, Telegram или Dropbox, что осложняет блокировку его командного центра.

Итоги марта 2026 года подчёркивают общую тенденцию к усложнению и гибридизации киберугроз. Атакующие всё чаще комбинируют социальную инженерию с эксплуатацией доверенных облачных сервисов, используют многоэтапные цепочки доставки для обхода базовых защит и создают вредоносные программы с двойным функционалом, как в случае с ботнетом-загрузчиком. В таких условиях традиционные средства защиты, ориентированные на сигнатуры и простые поведенческие аномалии, оказываются недостаточно эффективными. Для противодействия требуется комплексный подход, включающий глубокий анализ поведения, корреляцию слабых сигналов из разных источников и готовность к быстрому реагированию на инциденты, которые уже миновали начальные стадии развития.

SHA256

• 07f56ac8b5bd7cdb4c33ea5e9cd42bc7f9d3cd5504aabbb476ef010a142d7e29
• 57ce6187be65c1c692a309c08457290ae74a0047304de6805dbb4feb89c0d7e5
• 6a581c3b6fe7847bb327f5d76e05653a1504e51023454c41835e5dc48bc13ba4
• 7d157366d74312965912a35cbba4187532cfeb3b803119a3a04c9ba0ba7d4ab0
• a6f72590792b3f26271736e5a7ba80102292546bb118cf84ff29df99341abfbe