Windows выдала предупреждение о том, что принтеры используются в новых хакерских атаках

Исследователи из Varonis Threat Labs обнаружили новую фишинговую кампанию, в которой злоумышленники используют малозаметную функцию Microsoft 365 под названием Direct Send. Эта функция изначально предназначена для отправки писем с внутренних устройств, таких как принтеры, без необходимости аутентификации. Однако в рамках атаки она применялась для подмены внутренних адресов и рассылки фишинговых сообщений, не требующих взлома учётных записей.

По данным Varonis, кампания стартовала в мае 2025 года и уже затронула более 70 организаций, в основном в США. Атаки были направлены на отдельные компании, при этом письма не вызывали подозрений, так как воспринимались как внутренний трафик. Все случаи объединяла общая схема: одинаковые темы писем, совпадающие IP-адреса отправителей и другие технические признаки. Подобные тенденции в атаках на Microsoft 365 уже неоднократно отмечались специалистами по информационной безопасности.

Суть проблемы в том, что Direct Send позволяет отправлять письма через внутренний почтовый шлюз Microsoft без паролей и токенов. Для этого злоумышленнику достаточно знать доменное имя и один внутренний адрес компании. Всё остальное можно подобрать автоматически или найти в открытых источниках.

В конкретных инцидентах, зафиксированных командой Varonis, отправка сообщений происходила с помощью PowerShell. Письма выглядели как уведомления о голосовых сообщениях или факсах, содержали PDF-файл с QR-кодом и вели на сайты для кражи учётных данных Microsoft 365. Использование QR-кодов в фишинге становится всё более распространённой тактикой злоумышленников. Несмотря на отсутствие цифровых подписей и провалы SPF и DMARC-проверок, письма успешно проходили через инфраструктуру Microsoft и попадали в почтовые ящики сотрудников.

В некоторых случаях срабатывали системы безопасности, когда письма приходили с IP-адресов из необычных геолокаций, например из Украины, однако настороженность вызывал не вход в систему, а сама активность по отправке писем. Анализ заголовков подтверждал, что почта пришла извне, но использовала внутреннюю маршрутизацию, благодаря чему успешно обходила фильтры.

Для защиты от подобных атак специалисты рекомендуют включить функцию блокировки Direct Send, настроить жёсткую политику DMARC, отслеживать письма без аутентификации, использовать политики антиспуфинга и информировать сотрудников о рисках, связанных с вредоносными вложениями, особенно в формате QR-кодов. Важность правильной настройки SPF и DMARC для защиты от подмены отправителей невозможно переоценить. Также важно применять многофакторную аутентификацию и ограничивать допустимые IP-адреса в SPF-записях.

Varonis подчёркивает, что даже внутренние письма могут быть опасны, если оставить подобные лазейки без контроля. В их арсенале есть инструменты и команды, способные обнаружить и остановить такие угрозы в реальном времени.