Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Cisco и Microsoft невольно помогли преступникам. Как надежные службы стали частью схемы взлома

leer en español

Швеция Kratos фишинг Microsoft Cisco
Cisco и Microsoft невольно помогли преступникам. Как надежные службы стали частью схемы взлома
Швеция Kratos фишинг Microsoft Cisco

Преступники построили лабиринт, чтобы украсть пароль у профессионала.

image

Руководителю шведской компании в сфере кибербезопасности попытались подсунуть письмо, которое выглядело безупречно даже для опытного специалиста. Атака оказалась настолько тщательно продуманной, что прошла через цепочку доверенных сервисов и выглядела как обычная рабочая переписка.

Целью стал топ-менеджер компании Outpost24. О попытке рассказало дочернее подразделение Specops Software. Специалисты заметили атаку на раннем этапе и заблокировали её до того, как злоумышленники смогли получить доступ к системам или данным.

Письмо маскировалось под сообщение от финансовой организации JPMorgan Chase и выглядело как часть уже существующей переписки. Получателю предлагали открыть документ и поставить подпись. Чтобы обойти проверки, злоумышленники добавили сразу две цифровые подписи DKIM, благодаря чему письмо успешно проходило проверку подлинности и не вызывало подозрений у почтовых систем.

Ссылка внутри письма вела не на подозрительный сайт, а на легитимный домен Cisco. Речь идёт о сервисе, который переписывает и проверяет ссылки в корпоративной почте. Поскольку ссылка проходила проверку, перенаправление происходило через инфраструктуру Cisco, что помогло обойти защитные механизмы.

Дальше цепочка усложнялась. Пользователя перенаправляли через платформу работы с почтовыми интерфейсами Nylas, затем на поддомен сайта индийской компании-разработчика, а после – на домен с интересной историей. Домен зарегистрировали ещё в 2017 году на китайскую организацию, но в марте срок действия сертификата истёк, записи DNS освободили, а уже через несколько дней адрес зарегистрировали заново и сразу выпустили новые сертификаты. Такая последовательность намекает на подготовку домена специально под атаку.

Финальный этап происходил уже на инфраструктуре, скрытой за защитой Cloudflare. Перед показом страницы система проверяла браузер пользователя, вероятно, чтобы отсеять автоматический анализ. После проверки открывалась поддельная страница входа в Microsoft 365 с правдоподобной анимацией загрузки в стиле Outlook. Страница не просто собирала учётные данные, а сразу пыталась проверить их через настоящий вход в сервис.

Вся схема укладывалась в сложную многоступенчатую атаку, которую, по данным Specops, могли провести с помощью набора «фишинг как услуга» под названием Kratos. Конкретную группировку назвать не удалось, но используемые методы совпадают с подходами, которые ранее применяли структуры, связанные с Ираном. При этом похожие техники всё чаще используют и другие группы, поэтому точную атрибуцию установить пока не получилось.