Специалисты Varonis из команды Managed Data Detection and Response (MDDR) Forensics обнаружили новую фишинговую кампанию, злоупотребляющую функцией Direct Send в Microsoft 365. Эта атака позволяет злоумышленникам рассылать поддельные письма от имени внутренних пользователей без необходимости взлома их учетных записей. В кампании, запущенной ещё в мае 2025 года, пострадали более 70 организаций, преимущественно из США, хотя жертвы были выявлены и в других регионах.
Описание
Direct Send - это функция Exchange Online, предназначенная для отправки писем внутри организации без аутентификации, например, для принтеров и автоматизированных систем. Однако её уязвимость заключается в том, что любой внешний злоумышленник может отправить письмо через специальный SMTP-шлюз (smart host) без авторизации. Для этого достаточно знать формат внутренних почтовых адресов компании и её доменное имя, которое часто можно легко найти в открытых источниках.
Атака работает следующим образом: злоумышленник использует PowerShell или другой инструмент для отправки письма через smart host компании, указав в качестве отправителя легитимный внутренний адрес. Например, команда Send-MailMessage позволяет создать письмо, которое выглядит так, будто оно отправлено сотрудником самому себе, но на самом деле его источник находится за пределами организации. В результате такие письма могут обходить стандартные механизмы фильтрации, так как маршрутизируются через инфраструктуру Microsoft и воспринимаются как внутренние.
| 1 | Send-MailMessage -SmtpServer company-com.mail.protection.outlook.com -To joe@company.com -From joe@company.com -Subject "New Missed Fax-msg" -Body "You have received a call! Click on the link to listen to it. Listen Now" -BodyAsHtml |
В одном из реальных случаев, исследованных Varonis, фишинговые письма маскировались под уведомления о пропущенном звонке и содержали вложение в формате PDF с QR-кодом. При сканировании кода пользователь попадал на фальшивую страницу входа в Microsoft 365, где его учетные данные перехватывались злоумышленниками.
Для обнаружения подобных атак специалисты рекомендуют анализировать заголовки писем, обращая внимание на следующие признаки: внешние IP-адреса в Received-заголовках, ошибки аутентификации SPF, DKIM и DMARC, а также несоответствие идентификатора кросс-тенанта (X-MS-Exchange-CrossTenant-Id). Также стоит обращать внимание на подозрительное поведение, такое как письма, отправленные пользователями самим себе, особенно если в User-Agent указан PowerShell или другой скриптовый инструмент.
Хотя Direct Send имеет законные применения (например, для автоматических уведомлений от внутренних систем), его уязвимость требует дополнительных мер защиты. Microsoft рекомендует отключать эту функцию, если она не используется, или настраивать правила транспорта для блокировки неавторизованных писем. Кроме того, важно обучать сотрудников распознаванию фишинговых атак даже в случаях, когда письма выглядят как внутренние.
Рост числа подобных инцидентов показывает, что злоумышленники постоянно ищут новые способы обхода защитных механизмов. Организациям следует не только обновлять свои системы безопасности, но и регулярно проводить аудит настроек почтовых серверов, чтобы минимизировать риски эксплуатации таких уязвимостей.
Индикаторы компрометации
IPv4
- 139.28.36.230
URLs
- https://mv4lh.bsfff.es
- https://voice-e091b.firebaseapp.com
