СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:23
#ИБ#Облака

Фишинг через доверенную инфраструктуру: новая угроза в облаке

Недавние расследования фишинговой активности показали заметную эволюцию атак: на первый план выходит Trusted Infrastructure Phishing, или TIP. Речь идет о сценарии, в котором фишинговая кампания разворачивается не на подозрительных доменах и не через очевидно вредоносную инфраструктуру, а внутри доверенных корпоративных cloud-сред. Такой подход позволяет злоумышленникам почти полностью скрыть традиционные признаки атаки и сделать ее крайне сложной для обнаружения.

Почему TIP опаснее классического фишинга

Главная особенность TIP заключается в том, что каждый этап атаки — от доставки письма до закрепления в инфраструктуре — опирается на легитимные cloud-сервисы. В результате вредоносная активность визуально и технически сливается с обычной работой организации.

Как отмечается в материалах расследований, этот сдвиг стал ответом на усиление средств защиты конечных точек и развитие продвинутой фильтрации электронной почты, которые снизили эффективность фишинга, основанного на ВПО. Злоумышленники адаптировались и сделали ставку на сбор учетных данных через доверенные механизмы, не оставляющие привычных следов для forensic analysis.

Как строится атака

В типичной TIP-кампании доставка фишингового письма может происходить с использованием легитимных инструментов автоматизации рабочих процессов. Это позволяет отправлять сообщения напрямую из систем cloud-провайдеров и обходить традиционные spam-фильтры и другие меры электронной почтовой безопасности.

После перехода по ссылке жертва попадает на фишинговую страницу, размещенную на известных облачных сервисах хранения данных, включая Azure и SharePoint. Такие страницы выглядят убедительно благодаря безопасным сертификатам и branding, совпадающему с оформлением доверенных организаций.

  • использование легитимных cloud-сервисов на всех этапах атаки;
  • обход традиционных средств email-security;
  • маскировка под доверенные бренды и организации;
  • сокрытие признаков компрометации в обычном трафике.

In-memory и обход сетевого обнаружения

Продвинутые варианты TIP используют in-memory-техники. В этом случае фишинговая страница динамически конструируется средствами браузера жертвы, что позволяет полностью обходить многие механизмы обнаружения. Поскольку вредоносный контент не передается по сети в привычном виде, методы фильтрации на network level оказываются значительно менее эффективными.

Именно эта особенность делает TIP особенно опасным для организаций, которые по-прежнему полагаются главным образом на анализ сетевого трафика.

OAuth, access tokens и adversary-in-the-middle

Отдельную угрозу представляет эксплуатация протоколов OAuth. В ряде случаев злоумышленники нацеливаются не на passwords, а на access tokens, получая возможность работать с легитимными сессиями пользователей.

Для этого применяются техники adversary-in-the-middle, при которых атакующий ретранслирует потоки аутентификации и перехватывает нужные данные в момент входа. Такой подход значительно усложняет выявление компрометации, поскольку для систем защиты поведение может выглядеть как обычная авторизация пользователя.

«После первоначального доступа злоумышленники сохраняют свои позиции в cloud-среде жертвы, создавая правила для обеспечения постоянного присутствия без привлечения внимания».

Практика атак: от North America до impersonation

Отдельные инциденты показывают, что TIP уже активно применяется против организаций в разных регионах. Так, фишинговые кампании против компаний в North America использовали механизмы OAuth для запроса access tokens и закрепления в среде без запуска тревог.

Другие операции строились вокруг impersonation учреждений consumer finance. Злоумышленники применяли мониторинг в real time и локализованные стратегии взаимодействия, чтобы манипулировать ответами пользователей и извлекать confidential information.

Примечателен и другой аспект: скомпрометированный backend interface в одном из случаев раскрыл подробные журналы взаимодействия и transcripts. Это показало, что даже технологически сложные операции могут страдать от слабых практик security.

Что делать организациям

Эксперты сходятся во мнении: традиционных средств защиты уже недостаточно. Чтобы противостоять TIP, организациям необходимо пересматривать архитектуру безопасности и делать акцент не на отдельных технических обновлениях, а на системных мерах.

  • внедрять strong authentication;
  • жестко управлять permissions OAuth;
  • развивать поведенческое обнаружение, основанное на user behavior;
  • не полагаться исключительно на network traffic analysis;
  • усиливать контроль над cloud-средой и правилами постоянного доступа.

TIP демонстрирует, что фишинг больше не ограничивается подозрительными ссылками и поддельными страницами на внешних доменах. Современные атаки все чаще строятся внутри trusted environments, где злоумышленники используют саму инфраструктуру доверия как инструмент маскировки.

На фоне ускоряющегося внедрения cloud-технологий именно архитектурные изменения, а не точечные меры, могут стать основой будущей защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: