Cisco и Microsoft невольно помогли преступникам. Как надежные службы стали частью схемы взлома
NewsMakerПреступники построили лабиринт, чтобы украсть пароль у профессионала.
Руководителю шведской компании в сфере кибербезопасности попытались подсунуть письмо, которое выглядело безупречно даже для опытного специалиста. Атака оказалась настолько тщательно продуманной, что прошла через цепочку доверенных сервисов и выглядела как обычная рабочая переписка.
Целью стал топ-менеджер компании Outpost24. О попытке рассказало дочернее подразделение Specops Software. Специалисты заметили атаку на раннем этапе и заблокировали её до того, как злоумышленники смогли получить доступ к системам или данным.
Письмо маскировалось под сообщение от финансовой организации JPMorgan Chase и выглядело как часть уже существующей переписки. Получателю предлагали открыть документ и поставить подпись. Чтобы обойти проверки, злоумышленники добавили сразу две цифровые подписи DKIM, благодаря чему письмо успешно проходило проверку подлинности и не вызывало подозрений у почтовых систем.
Ссылка внутри письма вела не на подозрительный сайт, а на легитимный домен Cisco. Речь идёт о сервисе, который переписывает и проверяет ссылки в корпоративной почте. Поскольку ссылка проходила проверку, перенаправление происходило через инфраструктуру Cisco, что помогло обойти защитные механизмы.
Дальше цепочка усложнялась. Пользователя перенаправляли через платформу работы с почтовыми интерфейсами Nylas, затем на поддомен сайта индийской компании-разработчика, а после – на домен с интересной историей. Домен зарегистрировали ещё в 2017 году на китайскую организацию, но в марте срок действия сертификата истёк, записи DNS освободили, а уже через несколько дней адрес зарегистрировали заново и сразу выпустили новые сертификаты. Такая последовательность намекает на подготовку домена специально под атаку.
Финальный этап происходил уже на инфраструктуре, скрытой за защитой Cloudflare . Перед показом страницы система проверяла браузер пользователя, вероятно, чтобы отсеять автоматический анализ. После проверки открывалась поддельная страница входа в Microsoft 365 с правдоподобной анимацией загрузки в стиле Outlook. Страница не просто собирала учётные данные, а сразу пыталась проверить их через настоящий вход в сервис.
Вся схема укладывалась в сложную многоступенчатую атаку, которую, по данным Specops, могли провести с помощью набора «фишинг как услуга» под названием Kratos. Конкретную группировку назвать не удалось, но используемые методы совпадают с подходами, которые ранее применяли структуры, связанные с Ираном . При этом похожие техники всё чаще используют и другие группы, поэтому точную атрибуцию установить пока не получилось.
Руководителю шведской компании в сфере кибербезопасности попытались подсунуть письмо, которое выглядело безупречно даже для опытного специалиста. Атака оказалась настолько тщательно продуманной, что прошла через цепочку доверенных сервисов и выглядела как обычная рабочая переписка.
Целью стал топ-менеджер компании Outpost24. О попытке рассказало дочернее подразделение Specops Software. Специалисты заметили атаку на раннем этапе и заблокировали её до того, как злоумышленники смогли получить доступ к системам или данным.
Письмо маскировалось под сообщение от финансовой организации JPMorgan Chase и выглядело как часть уже существующей переписки. Получателю предлагали открыть документ и поставить подпись. Чтобы обойти проверки, злоумышленники добавили сразу две цифровые подписи DKIM, благодаря чему письмо успешно проходило проверку подлинности и не вызывало подозрений у почтовых систем.
Ссылка внутри письма вела не на подозрительный сайт, а на легитимный домен Cisco. Речь идёт о сервисе, который переписывает и проверяет ссылки в корпоративной почте. Поскольку ссылка проходила проверку, перенаправление происходило через инфраструктуру Cisco, что помогло обойти защитные механизмы.
Дальше цепочка усложнялась. Пользователя перенаправляли через платформу работы с почтовыми интерфейсами Nylas, затем на поддомен сайта индийской компании-разработчика, а после – на домен с интересной историей. Домен зарегистрировали ещё в 2017 году на китайскую организацию, но в марте срок действия сертификата истёк, записи DNS освободили, а уже через несколько дней адрес зарегистрировали заново и сразу выпустили новые сертификаты. Такая последовательность намекает на подготовку домена специально под атаку.
Финальный этап происходил уже на инфраструктуре, скрытой за защитой Cloudflare . Перед показом страницы система проверяла браузер пользователя, вероятно, чтобы отсеять автоматический анализ. После проверки открывалась поддельная страница входа в Microsoft 365 с правдоподобной анимацией загрузки в стиле Outlook. Страница не просто собирала учётные данные, а сразу пыталась проверить их через настоящий вход в сервис.
Вся схема укладывалась в сложную многоступенчатую атаку, которую, по данным Specops, могли провести с помощью набора «фишинг как услуга» под названием Kratos. Конкретную группировку назвать не удалось, но используемые методы совпадают с подходами, которые ранее применяли структуры, связанные с Ираном . При этом похожие техники всё чаще используют и другие группы, поэтому точную атрибуцию установить пока не получилось.