КАРТА РОСТА
КАРТА РОСТА
ARToken использует легитимные домены Microsoft и снижает шанс блокировки писем.
EvilTokens оказался не просто набором для фишинга, а полноценной фабрикой по захвату корпоративной почты Microsoft 365. Новое расследование Cisco Talos показало, что атаки через коды устройств устроены тоньше, чем выглядело по ранним описаниям: злоумышленники используют реальные деловые связи, легитимные домены Microsoft и инструменты для дальнейшего контроля над перепиской жертв.
EvilTokens работает вокруг фишинга через код устройства. В обычной ситуации такой механизм помогает войти в аккаунт Microsoft 365 на устройстве без удобного ввода пароля: пользователь открывает страницу Microsoft, вводит короткий код и подтверждает доступ. В атакующей версии жертву убеждают ввести код, связанный с сессией злоумышленников. После подтверждения преступники получают токены доступа, входят в приложения организации без ввода пароля и обходят многофакторную аутентификацию.
Как ранее писали, EvilTokens резко упростил атаки через OAuth 2.0 Device Code и сделал обход многофакторной аутентификации доступным даже для менее опытных злоумышленников. В марте набор описала французская компания Sekoia, а в апреле Microsoft сообщала о сотнях организаций, ежедневно попадающих под атаки через коды устройств.
Cisco Talos изучила панель оператора фишинга как услуги под названием ARToken. Исследователь Майкл Келли сообщил, что ARToken, по всей видимости, выступает клиентом EvilTokens: операция использует похожую инфраструктуру, одинаковые контракты API и близкую модель работы. По данным Microsoft, с 15 марта специалисты наблюдали от 10 до 15 отдельных кампаний каждые 24 часа, причем рассылки били по сотням компаний и использовали разные полезные нагрузки.
Главная находка Talos касается пути фишингового письма до почтового ящика. Специалисты восстановили две почти одинаковые рассылки, отправленные 20 апреля с разницей примерно в четыре минуты. Атака не напоминала массовый спам: злоумышленники использовали реальную связь между американской компанией из сферы наук о жизни и подрядчиком по сантехническим и противопожарным системам. Письмо имитировало уведомление о неоплаченных счетах, а в заголовке отправителя фигурировал настоящий домен подрядчика. Ответы при этом уходили на сторонний домен.
Ссылка в письме выглядела как настоящий SharePoint-ресурс поставщика, но фактически вела на почти идентичный тенант в отдельной среде Microsoft 365, контролируемой атакующими. Такой прием снижал шанс блокировки, потому что переход все равно вел на легитимный хост sharepoint.com. При изучении инфраструктуры ARToken специалисты Cisco также нашли более сложные механизмы уклонения от анализа, чем в прежних описаниях EvilTokens.
Панель ARToken включала не только управление токенами и средства закрепления в аккаунте, но и встроенный набор инструментов для компрометации деловой переписки. Оператор мог читать входящие письма Microsoft Outlook, отправлять сообщения от имени жертвы, создавать правила для пересылки и удаления писем, а также отслеживать ключевые слова сразу во всех захваченных учетных записях. По оценке Cisco Talos, набор возможностей показывает зрелую среду для BEC-операций, а не простой фишинговый комплект для кражи кодов устройств.