СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:23
#ИБ

Evilginx атакует Microsoft 365: кража токенов через Outlook-панель

В киберпространстве обнаружен новый инструмент, который демонстрирует, насколько эволюционировали атаки на учетные записи Microsoft 365. В основе схемы — Evilginx, используемый для незаметной кражи токенов аутентификации и последующего управления скомпрометированными аккаунтами. По данным отчета, злоумышленники выстроили инфраструктуру, замаскированную под интерфейс Microsoft Outlook, чтобы повысить убедительность фишинга и упростить операционное управление украденными данными.

Как устроена схема атаки

Панель злоумышленника управляет тремя экземплярами DigitalOcean, которые предоставляют идентичный контент. Такая конфигурация рассчитана на масштабную кражу и обработку токенов аутентификации. При этом сама архитектура построена по принципу трех уровней, что позволяет разделить фишинговую инфраструктуру и панель оперативного управления.

Подобная структура указывает на отлаженный процесс:

  • захват токенов с помощью Evilginx;
  • их автоматическую обработку через веб-приложение, имитирующее легитимный функционал Outlook;
  • дальнейшее использование токенов для удержания доступа и управления учетными записями.

Автоматизация как новый уровень угрозы

Особое внимание в отчете уделяется интеграции с API ленты Evilginx Pro. Благодаря этому операторы могут автоматически импортировать новые захваченные токены через регулярные интервалы, что существенно снижает необходимость ручного вмешательства.

Эксперты отмечают, что это заметно снижает порог входа для киберпреступников. Теперь даже менее квалифицированные участники могут эффективно управлять украденными токенами и извлекать из них максимальную выгоду.

Автоматизация операций по работе с токенами превращает сложные атаки в масштабируемый сервис, доступный более широкому кругу злоумышленников.

Какие механизмы используют злоумышленники

Среди ключевых возможностей панели — поддержка refresh-tokens, захваченных вместе с access-tokens. Это позволяет сохранять доступ к учетной записи даже после истечения срока действия первоначального токена.

Кроме того, инструмент использует CORS-proxy для обхода ограничений на запросы обновления токенов. Предусмотрен и экспорт захваченных токенов, что облегчает их обмен или продажу внутри криминальной экосистемы. Таким образом, инструмент не только поддерживает атаки, но и подпитывает подпольный рынок токенов.

Чем это опасно для Microsoft 365

Один действительный bearer token, полученный таким способом, может открыть полный доступ к службам Microsoft 365. Под угрозой оказываются конфиденциальные данные в email, OneDrive и SharePoint.

Скомпрометированный доступ может использоваться для:

  • чтения и записи в почтовые ящики жертв;
  • манипулирования MFA;
  • выполнения административных действий;
  • компрометации всей конфигурации tenant;
  • создания правил тихой пересылки для незаметного вывода данных.

Отдельную опасность представляют возможности по сбросу настроек MFA и выдаче Temporary Access Pass, которые позволяют злоумышленникам закрепиться в системе и сохранить постоянный доступ.

Что рекомендуют специалисты

Авторы отчета подчеркивают, что такая схема делает атаки на токены Microsoft 365 более доступными и опасными. В связи с этим организациям рекомендуется усилить защитные меры и сосредоточиться на раннем выявлении повторного использования токенов.

В числе приоритетных мер названы:

  • внедрение Conditional Access Policies;
  • мониторинг необычной активности в Graph API;
  • создание механизмов обнаружения атак с повторным использованием токенов;
  • защита конфиденциальной информации от продвинутых угроз;
  • контроль действий, связанных с MFA и административными изменениями.

По сути, речь идет о новой фазе развития фишинга: злоумышленники уже не ограничиваются кражей учетных данных, а строят полноценные платформы для автоматизированного захвата и монетизации токенов доступа. Именно поэтому защита Microsoft 365 требует не только традиционных средств безопасности, но и постоянного мониторинга поведенческих аномалий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: