СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 января
#ИБ

BlueDelta: эволюция фишинга и кражи учетных данных OWA/VPN

В период с февраля по сентябрь 2025 года хакерская группировка BlueDelta, связанная с ГРУ, существенно продвинула свои Credential-Harvesting кампании. По данным отчета, группа внедрила новые методы фишинга и использовала подлинно выглядящие документы, чтобы повысить эффективность кражи учетных данных и скрыть следы своей деятельности.

Ключевые итоги

  • BlueDelta сфокусировалась на создании фишинговых порталов, имитирующих вход для веб‑клиента OWA и сервисы, такие как Google и Sophos VPN;
  • Для хостинга и развёртывания фишинговых страниц использовались бесплатные сервисы вроде InfinityFree и ngrok;
  • Фишинговые страницы сопровождались кажущимися подлинными PDF‑приманками от авторитетных организаций, что помогало обходить почтовые фильтры;
  • Широко применялись настраиваемые функции JavaScript для автоматического сбора учетных данных, отслеживания действий жертвы и перенаправлений, что снижало потребность в ручном управлении процессом;
  • Отмечается повторение и адаптация тем фишинга — в частности, возврат к теме просроченного пароля для OWA в сентябре 2025 года.

Хронология заметных операций

  • 6 февраля 2025 — развернута фишинговая страница на тему OWA;
  • 4 июня 2025 — создана страница credential-harvesting, имитирующая вход в Sophos VPN;
  • апрель 2025 — обнаружена фишинговая страница сброса пароля Google с функциональностью JavaScript для сбора учетных данных и эксфильтрации;
  • сентябрь 2025 — повторное использование темы OWA для страницы с просроченным паролем, что указывает на эволюцию и тестирование подходов.

Тактика и используемая инфраструктура

Особенностью операций BlueDelta стала комбинация дешёвых или бесплатных сервисов хостинга и туннелирования с тщательно подготовленными социальными приманками. Использование InfinityFree и ngrok позволяло быстро развертывать страницы и менять инфраструктуру по мере необходимости, что затрудняло отслеживание и блокировку. Одновременно применялись сложные скрипты на JavaScript, которые:

  • фиксировали введённые пользователем учетные данные;
  • отслеживали поведение жертвы на странице;
  • автоматизировали перенаправления и эксфильтрацию данных, уменьшая ручные операции.

«Операционная эффективность была дополнительно повышена за счёт использования настраиваемых функций JavaScript, которые не только фиксировали учетные данные пользователя, но и отслеживали действия жертвы и автоматизировали процессы перенаправления».

Цели и география атак

По информации в отчёте, основной фокус BlueDelta — сбор разведданных. Жертвами были исследовательские и правительственные учреждения, в основном в Турции и Европе. Деятельность группы согласуется со стратегическими задачами по сбору разведывательной информации от ключевых объектов в государственных, директивных и исследовательских сообществах.

Значение и прогноз

Адаптивность BlueDelta — в частности, быстрая смена инфраструктуры и развитие тем фишинга — подчёркивает её способность скрывать операции и поддерживать низкие эксплуатационные расходы. Продолжение использования аналогичных техник ставит под угрозу предприятия и учреждения, использующие корпоративные почтовые сервисы и VPN. В отчёте ожидается, что группа продолжит усилия по Credential-Harvesting в начале 2026 года.

Что важно знать организациям

  • Фишинговые кампании могут сопровождаться подлинно выглядящими документами (PDF), которые обходят фильтры — повышайте бдительность при открытии вложений;
  • Использование многофакторной аутентификации и улучшенные механизмы фильтрации почты остаются ключевыми мерами защиты;
  • Мониторинг аномалий входа и поведенческий анализ могут помочь обнаружить автоматизированные сценарии эксплойта, основанные на JavaScript;
  • Регулярное обучение сотрудников и тестирование на фишинг снижает вероятность успешной компрометации учетных записей.

Подводя итог: BlueDelta продемонстрировала эволюцию методов Credential-Harvesting и выдержанную стратегию атак, сочетающую техническую гибкость с социально-инженерными приёмами. Это требует от организаций повышенного внимания к почтовой безопасности, аутентификации и мониторингу аномалий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: