СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:26
#ИБ

DCL расширяет фишинговую инфраструктуру и обходит защиту

Инфраструктура Device Code Lab (DCL) заметно расширилась, и это расширение уже дало аналитикам несколько важных сигналов: в экосистеме появились открытые модули инструментов, которые упрощают различные вредоносные действия. Судя по описанию, речь идет не о наборе разрозненных страниц, а о хорошо организованной операционной среде, рассчитанной на устойчивые атаки против корпоративных учетных записей и почтовых сервисов.

Mailbox-модуль: доступ к почте жертв через захваченные tokens

Одной из ключевых возможностей DCL является Mailbox module, позволяющий операторам выполнять эксфильтрацию электронных писем с использованием захваченных tokens жертв. Интерфейс этого модуля напоминает Outlook Web App и поддерживает расширенные функции, которые обычно ожидаются от полноценной почтовой платформы.

Среди доступных функций:

  • навигация по папкам;
  • массовые операции с сообщениями;
  • создание inbox rules;
  • enumeration of Azure AD roles;
  • поиск, составление и удаление сообщений через открытый user interface по определенным paths.

Такая глубина функциональности указывает на продуманную методологию, которую используют операторы для манипуляции скомпрометированными учетными записями. По сути, злоумышленники получают не просто доступ к почте, а полноценную среду для дальнейшего развития атаки.

Централизованная инфраструктура и обновляемые IOCs

Среда DCL связана через несколько domains с использованием общих TLS certificates, что указывает на централизованный подход к управлению операциями. Это характерно для инфраструктур, где важны согласованность, устойчивость и возможность быстро менять компоненты без потери управляемости.

Отдельно отмечается постоянное обновление Indicators of Compromise (IOCs). Такая динамика подчеркивает изменчивый характер инфраструктуры: по мере выявления новых vulnerabilities и tools злоумышленники, по всей видимости, оперативно перестраивают свою среду.

Инструменты для email-кампаний и phishing

В рамках DCL также выявлены инструменты для управления email lists и их проверки на предмет использования в phishing. Это повышает эффективность кампаний сразу по двум направлениям: улучшает deliverability и делает targeting точнее.

Иными словами, инфраструктура помогает не только получить доступ к учетной записи, но и использовать ее как канал для дальнейшего распространения malicious emails с большей убедительностью для новых жертв.

Инфраструктура DCL поддерживает hybrid attack workflows: phishing with device code для первоначального доступа, а затем рассылку phishing emails непосредственно с compromised accounts.

Такой подход добавляет дополнительный уровень legitimacy последующим атакам. Получатель видит письмо, пришедшее с реальной скомпрометированной учетной записи, а значит, вероятность успешного обмана возрастает.

SVG attachments и обход detection

Еще один заметный элемент экосистемы DCL — SVG attachment generator, известный своей способностью обходить detection mechanisms в Microsoft Defender for Endpoint. Этот инструмент позволяет создавать SVG-файлы, которые могут встраивать JavaScript, а значит, злоумышленники получают возможность эксплуатировать browser contexts и избегать ряда распространенных методов обнаружения.

Такая техника особенно опасна в корпоративной среде, где вложения и веб-контент часто проходят через несколько уровней фильтрации. Использование SVG как контейнера для script-based payloads показывает, что операторы DCL делают ставку на гибкость формата и слабые места в цепочках защиты.

Phishing pages под разные темы

Операционный ландшафт DCL также включает различные phishing pages, предназначенные для сбора credentials по множеству тем. Эти страницы используют compromised infrastructure для обмана жертв и выстраиваются таким образом, чтобы выглядеть правдоподобно в разных сценариях.

Разнообразие тактик и инструментов указывает на скоординированные усилия по эксплуатации vulnerabilities в corporate environments и уклонению от detection. По совокупности признаков DCL представляет собой не просто набор злоумышленных страниц, а тщательно спроектированную инфраструктуру с богатым функционалом, ориентированную на длительные и многоэтапные кампании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: