Пароль менять бесполезно. Microsoft предупредила о взломах, которые невозможно остановить
Традиционные способы самообороны утратили всякий смысл.
Microsoft сообщила о новой серии многоэтапных атак, в ходе которых применялась схема перехвата сеанса (AiTM) в сочетании с методами компрометации деловой переписки (BEC). Целью стали организации в энергетической отрасли, при этом злоумышленники активно использовали SharePoint для доставки вредоносных ссылок и дальнейшего закрепления в системе.
Начальный этап атаки был реализован через фишинговое письмо, отправленное с адреса, принадлежащего ранее скомпрометированной сторонней организации. В письме содержалась ссылка на документ SharePoint, оформленная в стиле типовых уведомлений Microsoft. Переход по ней вёл на страницу авторизации, имитирующую вход в корпоративный ресурс. Доверие к такому сообщению повышалось за счёт использования хорошо знакомого интерфейса облачного сервиса и подмены темы письма.
После получения доступа к учётной записи атакующие использовали её для дальнейшей рассылки писем внутри компании и за её пределами. От имени реальных сотрудников было отправлено свыше 600 сообщений с новыми фишинговыми ссылками, при этом адресаты выбирались по истории переписки, чтобы повысить шансы на успешную атаку.
Для сокрытия следов и обеспечения незаметного присутствия в системе применялись стандартные приёмы: создавались правила в почтовом ящике, которые автоматически удаляли входящие письма и помечали их как прочитанные. Кроме того, преступники отслеживали ответы на подозрительные сообщения и самостоятельно реагировали на них, чтобы подтвердить подлинность отправки и не вызвать тревоги у получателей.
Компрометация учётных записей не ограничивалась одним пользователем. Те, кто перешёл по вредоносной ссылке, подверглись дополнительной атаке с перехватом сессионных данных. Специалисты Microsoft зафиксировали характерные признаки взлома, включая повторные входы с подозрительных IP-адресов.
По данным компании, стандартных мер реагирования в таких случаях недостаточно. Простая смена пароля не решает проблему, если сессионные куки остались действующими, а в системе внедрены механизмы обхода многофакторной аутентификации (MFA). В ряде случаев злоумышленники меняли настройки, перенаправляя одноразовые коды на контролируемые ими номера телефонов.
Для эффективной защиты от подобных атак Microsoft рекомендует использовать комплексный подход, включая условные политики доступа, мониторинг активности, использование сертификатов и физических ключей, а также постоянную проверку подозрительных входов и манипуляций с почтовыми ящиками. Компания также задействовала механизмы автоматического удаления вредоносной корреспонденции, включая функцию ZAP, и вручную помогала клиентам ликвидировать последствия взлома.
Атака подчёркивает необходимость дополнительных уровней защиты при использовании облачных сервисов, особенно в отраслях с высоким уровнем риска. Даже при наличии MFA важно следить за сохранностью сессионных данных и вовремя реагировать на нетипичную активность в системе.