СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
4 марта
#ИБ#Облака

Атаки OAuth на госсектор: фишинг, перенаправления и вредоносные ZIP

Корпорация Майкрософт сообщила о значительном увеличении числа случаев использования протокола аутентификации OAuth в фишинговых кампаниях, особенно направленных против правительственных организаций и государственного сектора.

Атаки базируются на манипулировании легитимными механизмами перенаправления OAuth: жертвы перенаправляются в инфраструктуру, контролируемую злоумышленником, при этом злоумышленники зачастую не получают пользовательских токенов. Обнаружение кампаний стало возможным благодаря сигнатурам и телеметрии Microsoft Defender, который фиксировал аномалии и вредоносную активность на разных этапах атаки.

Как выглядит кампания: этапы атаки

  • Фишинговые письма содержат специально сформированные URL для перенаправления OAuth или такие ссылки встроены во вложения (например, PDF).
  • Тематика приманок разнообразна: запросы на электронную подпись, финансовые документы, политический контент — всё это используется для повышения кликабельности.
  • После перехода по ссылке пользователь проходит через цепочку OAuth-потоков и оказывается на вредоносной целевой странице (часто созданной с помощью платформ вроде EvilProxy), предназначенной для перехвата учетных данных и cookie.
  • В ряде случаев злоумышленники используют параметр prompt=none для попытки автоматической аутентификации без взаимодействия с UI; при неудаче (например, ошибка OAuth 65001) пользователи всё равно перенаправляются на сайт злоумышленника.
  • В результате жертве мгновенно предлагается загрузка вредоносного ZIP-файла, содержащего LNK-файлы и HTML-загрузчики.
  • Запуск LNK-файла выполняет команду PowerShell для разведки системы и загрузки дополнительных вредоносных компонентов; далее применяются методы DLL side-loading, обеспечивающие выполнение полезной нагрузки из памяти и установление связей с C2-серверами.

Инструменты и инфраструктура злоумышленников

Для рассылки и управления кампаниями злоумышленники прибегают как к массовым бесплатным почтовым сервисам, так и к индивидуальным решениям, разработанным на Python и Node.js. Операции выполняются через облачные почтовые сервисы и виртуальные машины — что затрудняет атрибуцию и позволяет быстро масштабировать рассылки.

Почему атака эффективна

  • Манипуляция параметрами OAuth (включая prompt=none) позволяет обойти привычные элементы взаимодействия пользователя с сервисом.
  • Перенаправления выглядят легитимными — URL встроены в доверительные письма и вложения, что повышает вероятность клика.
  • Доставка вредоносного архива и запуск LNK/Powershell-скриптов обеспечивает дальнейшую загрузку и исполнение модулей с обходом традиционных механизмов защиты.

Обнаружение и индикаторы

Организации, использующие Microsoft Defender, могут получать следующие предупреждения и признаки компрометации:

  • сигналы о потенциальном первоначальном доступе через фишинг и подозрительные перенаправления OAuth;
  • уведомления о неожиданных скачиваниях ZIP/LNK-файлов и запуске PowerShell-команд;
  • события, указывающие на DLL side-loading и аномальные соединения с внешними C2-серверами.

Рекомендации по защите

На основе озвученных в отчёте признаков Microsoft эксперты советуют организациям:

  • проверить и ограничить список доверенных redirect_uri в конфигурациях OAuth-приложений;
  • усилить контроль над предоставлением разрешений приложениям и регулярно пересматривать активные OAuth-консенсы;
  • обучать сотрудников распознаванию фишинговых сообщений и опасных вложений (ZIP, LNK, подозрительные PDF);
  • настроить детектирование аномалий в Microsoft Defender и отслеживание сигналов, связанных с OAuth-перенаправлениями и PowerShell-активностью;
  • ограничить возможность выполнения неподписанных PowerShell-скриптов и внедрить правила блокировки известных техник DLL side-loading.

Вывод

Текущая волна атак демонстрирует, что злоумышленники всё активнее используют легитимные механизмы аутентификации — в частности, OAuth — как средство доставки фишинговых приманок и вредоносного ПО. Даже при отсутствии прямого получения OAuth-токенов атакующие способны организовать надежную цепочку доставки вредоносного кода и выстроить дальнейшую эксплуатацию компрометированных систем. Организациям необходимо усилить контроль за OAuth-конфигурациями, оперативно реагировать на предупреждения безопасности и повышать кибергигиену пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: