Microsoft рассказала о многоэтапной атаке на компании энергетического сектора. Сценарий выглядит знакомо, но исполнение неприятно дисциплинированное: злоумышленники использовали ссылки на SharePoint как приманку, угоняли корпоративные почтовые ящики и затем рассылали сотни фишинговых писем уже от имени реальных сотрудников. В одном из эпизодов из взломанного ящика ушло более 600 сообщений, причем не только внутри компании, но и наружу, по контактам и спискам рассылки.
Как работала схема
Точка входа начиналась с письма от доверенной организации, чья почта, по данным Microsoft Defender Security Research Team, была скомпрометирована заранее. В письме была ссылка на SharePoint, которая выглядела как обычный запрос на доступ к документу и требовала авторизации. Темы подбирали под рабочий контекст, например New Proposal - NDA, чтобы сообщение выглядело как очередной файл на согласование. На этом и держится расчет: SharePoint и OneDrive для многих компаний это повседневность, поэтому ссылка на корпоративный сервис часто не вызывает настороженности.
После клика человека уводило на поддельную страницу ввода учетных данных для якобы просмотра документа. Когда логин и пароль оказывались у атакующих, те заходили в аккаунт с другого IP и сразу включали режим тишины. В почтовом ящике создавалось правило, которое удаляло входящие письма и помечало их как прочитанные. Такой прием решает сразу две задачи: жертва не видит уведомлений о странной активности, а атакующий не светит свою переписку, пока работает изнутри.
Дальше начинался главный этап. Из захваченного ящика злоумышленники запускали рассылку с новой фишинговой ссылкой. И делали это не по случайной базе, а по свежему контексту: смотрели недавние цепочки писем и выбирали адресатов так, чтобы сообщение выглядело естественно. Microsoft отмечает, что после рассылки атакующие продолжали сидеть в ящике, удаляли ответы об отсутствии, сообщения о недоставке и любые автоматические уведомления. Более того, они читали ответы людей, которые сомневались, и отвечали от имени жертвы, подтверждая, что письмо настоящее. Затем эти диалоги тоже удалялись. Это классика атак типа BEC, когда цель не просто украсть пароль, а удерживать контроль над коммуникацией как можно дольше.
По данным Microsoft Defender Experts, компрометации шли цепочкой: те, кто внутри компании кликал по вредоносной ссылке, становились следующими точками входа. Команда смогла идентифицировать скомпрометированных пользователей по характерным паттернам входов с нетипичных IP-адресов, и дальше это выглядело как серия последовательных взломов нескольких организаций.
Почему простая смена пароля не спасает
Microsoft отдельно подчеркивает, что в этом случае стандартный совет смените пароль может быть недостаточен. Кампания относится к типу adversary-in-the-middle (AiTM), когда злоумышленник перехватывает не только логин и пароль, но и сессионные cookies во время аутентификации. Это позволяет сохранять доступ даже после смены пароля и отзыва сессий, если атакующий успел закрепиться другими способами.
В отчете описывается и следующий шаг, который делает ситуацию особенно неприятной для администраторов. Злоумышленники могут манипулировать настройками многофакторной аутентификации, например добавить новую политику на вход через одноразовый код, который будет уходить на номер телефона, контролируемый атакующим. В таком сценарии даже грамотная реакция по паролям не закрывает дыру, потому что меняется сама логика подтверждения входа.
Для пострадавших организаций Microsoft рекомендует действовать шире: не только сбросить пароли, но и отозвать активные cookies, проверить и откатить изменения многофакторной аутентификации, удалить подозрительные правила почтовых ящиков. Также компания сообщила, что помогала клиентам выполнять эти шаги и запускала автоматическую очистку писем через Microsoft Defender XDR, чтобы вычистить сообщения, связанные с кампанией.
Информация
При этом Microsoft делает важное уточнение: многофакторная аутентификация все равно остается критически важной. Именно потому, что она работает, атакующие и вынуждены воровать cookies и строить посредника. В качестве более устойчивых вариантов Microsoft снова продвигает методы, устойчивые к фишингу, например FIDO2-ключи или аутентификацию на основе сертификатов.
В дополнение предлагаются практичные меры, которые в таких атаках реально дают эффект: политики условного доступа, которые учитывают сигналы вроде местоположения IP, статуса устройства и принадлежности к группе, а также непрерывная оценка доступа, позволяющая отзывать доступ при обнаружении аномалий.
Microsoft опубликовала индикаторы компрометации, включая IP-адреса 178.130.46.8 и 193.36.221.10, и дала запросы для Microsoft XDR и Microsoft Sentinel, чтобы искать входы с этих адресов, подозрительные правила в почте и аномальные операции в SharePoint.
Компания не назвала точное число пострадавших организаций и не привязала кампанию к конкретной группе. Но сама логика атаки хорошо показывает тренд: злоумышленники все чаще используют легитимные облачные сервисы как транспорт для фишинга. Это экономит им инфраструктуру и выглядит для жертвы как обычная рабочая ссылка, которую сложно отличить от настоящей в потоке деловой переписки.
