Платформы безопасности и доставки контента стали неотъемлемой частью современного веб-ландшафта, предоставляя законным сервисам защиту от атак и повышая их доступность. Однако эти же инфраструктурные решения все чаще привлекают внимание киберпреступников, стремящихся использовать их встроенные защитные механизмы в противоположных целях - для сокрытия своей вредоносной активности. Подобный симбиоз создает серьезную дилемму для отрасли информационной безопасности, когда обязанность провайдера защищать клиентов объективно вступает в противоречие с необходимостью выявлять и нейтрализовать угрозы на ранних стадиях. Недавняя фишинговая кампания, нацеленная на кражу учетных данных пользователей Microsoft 365, наглядно демонстрирует, насколько изощренными стали подобные атаки.
Описание
Атакующие развернули многоступенчатую схему, где основная фишинговая страница выполняла роль сложного фильтра, отсеивающего автоматические системы сканирования и исследователей безопасности, пропуская при этом только реальных потенциальных жертв. Ключевым элементом этой схемы стало использование сервиса Cloudflare, чьи стандартные функции защиты были обращены против защитников. Первым барьером для посетителя становилась проверка Cloudflare Turnstile, система подтверждения того, что доступ осуществляется человеком, а не ботом. Это простое и легитимное средство защиты от автоматического сбора данных в данном контексте эффективно блокировало работу многих автоматических сканеров уязвимостей и средств разведки.
Однако на этом фильтрация не заканчивалась. Код страницы содержал дополнительные, уже кастомные, механизмы проверки. Он активно определял IP-адрес посетителя, используя внешний сервис, и сверял его с жестко прописанным в скрипте списком блокировки. В этот список были включены целые диапазоны адресов, принадлежащих крупным компаниям в сфере кибербезопасности, таким как Palo Alto Networks и FireEye (ныне часть Trellix), а также облачным провайдерам Amazon Web Services и Google Cloud. Кроме того, система анализировала строку User-Agent браузера. Если она соответствовала известным поисковым ботам или инструментам для сканирования, страница мгновенно подменяла свое содержимое на сообщение об ошибке 404 «Не найдено», успешно маскируясь от индексации и автоматического анализа.
Исследователи из компании OX Security сообщили в своём отчёте, что ядро механизма кражи учетных данных было реализовано с применением сложной обфускации. Вместо стандартного JavaScript логика была заключена в массив закодированных инструкций, которые интерпретировались специальной виртуальной машиной прямо в браузере жертвы. Это не только серьёзно затрудняло статический анализ кода, но и позволяло динамически менять конечный пункт назначения. В случае срабатывания любой из проверок система могла подменить фишинговый URL на адрес легитимного домена, например google.com, что полностью скрывало следы атаки при последующем разборе инцидента. Только прошедший все фильтры пользователь перенаправлялся на настоящую страницу сбора логинов и паролей.
При анализе нескольких доменов, использовавшихся в кампании, была выявлена важная техническая деталь, которая может служить индикатором для упреждающего поиска. Все фишинговые сайты использовали один и тот же статический ключ (sitekey) для виджета Cloudflare Turnstile. Этот уникальный идентификатор создается администратором при настройке защиты на сайте. Таким образом, команды безопасности, отслеживая появление этого конкретного ключа в данных таких платформ, как Shodan или URLScan, потенциально могут обнаруживать новые фишинговые ресурсы еще до их активного использования в атаках, создавая важное окно возможностей для профилактики.
Данный инцидент высвечивает фундаментальную проблему, с которой сталкивается отрасль. Платформы, предлагающие услуги защиты, по сути, становятся буфером между злоумышленниками и средствами их обнаружения. Вредоносные акторы получают в распоряжение мощные инструменты для обфускации, защиты от ботов и сканеров, что значительно затягивает процесс их идентификации и профилирования угроз. Это ставит перед провайдерами услуг сложный вопрос о балансе между приватностью клиентов и ответственностью перед более широким сообществом безопасности. Для эффективного противодействия таким тактикам требуется более тесное взаимодействие, возможно, в форме ответственного подхода к проверке клиентов и внедрения механизмов прозрачности, которые не подрывали бы базовые принципы защиты, но позволяли бы быстрее выявлять откровенно злонамеренное использование инфраструктуры. Специалистам по безопасности, в свою очередь, необходимо учитывать эту динамику при проведении разведки и мониторинга, разрабатывая методы, способные заглянуть за завесу легитимных сервисов защиты.
Индикаторы компрометации
Domains
- securedreach.com
- suitecorporate.com
- suitetosecured.com
- wirelessmailsent.com
