СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
19 декабря
#ИБ#Облака

Фишинг как услуга: AiTM, BitB и обход MFA в облаке

Современные методы фишинга вышли далеко за рамки классических рассылок и подделанных страниц входа. Отчёт исследователей показывает, что злоумышленники активно используют продвинутые техники — от Browser-in-the-Browser (BitB) и AiTM до кражи cookie в реальном времени — чтобы обходить многофакторную аутентификацию и перехватывать активные веб-сессии. Это меняет правила игры для организаций и частных пользователей, заставляя переводить акцент защиты с обнаружения сообщений на обнаружение инфраструктуры атакующих.

Новые технические приёмы атак

Ключевые техники, которые используются в современных фишинговых кампаниях:

  • Browser-in-the-Browser (BitB) — эмуляция диалогов аутентификации внутри поддельного окна браузера, затрудняющая отличие подделки от реального интерфейса;
  • AiTM (Adversary-in-the-Middle) — активное вмешательство в поток аутентификации, позволяющее перехватывать вторичные факторы и сессионные токены;
  • Кража cookie в реальном времени и последующее их применение для захвата сессий без необходимости повторной аутентификации;
  • Манипуляции с потоками единого входа — SSO и OAuth — для получения долгоживущих токенов доступа.

Инфраструктура атак: облака, Kubernetes и PhaaS

Исследователи отмечают системный переход к облачной инфраструктуре: злоумышленники используют гибкие платформы и оркестраторы, такие как Kubernetes, чтобы быстро масштабировать и поддерживать устойчивость своих сетей фишинга. Это облегчает создание множества конечных точек с минимальным временем простоя при блокировке со стороны правоохранительных или хостинг-провайдеров.

Появление «фишинг как услуга» — PhaaS — снизило барьер входа: даже нетехнические акторы получают доступ к сложным AiTM-возможностям через готовые панели управления и шаблоны кампаний.

Маркетинг вместо инженерии

«Реклама возможностей фишинга подчёркивала оперативную эффективность, а не конкретные названия инструментов.»

В ходе расследования исследователи обнаружили русскоязычные форумы, где акцент делается на KPI атак (например, успешный обход MFA или подтверждение сеанса в реальном времени), а не на технические детали. Это указывает на формирование рыночной экосистемы, где инструменты маркируются и продаются по результатам, а не по внутренней архитектуре.

Тактика кампаний и целевые группы

Анализ выявил активные кластеры фишинга, нацеленные в первую очередь на пользователей Gmail и Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta). Общие тактики включали:

  • Использование множества IP-адресов и нескольких хостинг-провайдеров для сокрытия происхождения инфраструктуры;
  • Реальную проверку введённых учетных данных в момент фишинга;
  • Сбор геолокационных данных во время попыток аутентификации;
  • Перенаправление пострадавших на легитимные сайты после сдачи данных, чтобы уменьшить вероятность немедленного подозрения.

Сдвиг в подходах защиты

В ответ на эволюцию угроз киберзащита смещает фокус с простого фильтрования фишинг-писем на выявление и нейтрализацию базовой инфраструктуры атакующих. Практики включают мониторинг специализированных форумов и сбор разведданных о киберпреступности, что позволяет определять и блокировать угрозы ещё до масштабной реализации кампаний.

Рекомендации и выводы

  • Переход к инфраструктурной разведке. Мониторинг форумов, marketplace и аномалий в облачной инфраструктуре помогает выявлять PhaaS-операторов и их кампании до массовой эксплуатации.
  • Усиление контроля за сессиями. Не полагаться только на MFA: внедрять детекцию аномалий сеансов, проверку привязки устройств и ограничение доступа по риску.
  • Интеграция Threat Intelligence. Объединять сигнатуры фишинга с данными об IP/инфраструктуре и поведении для точечной блокировки.
  • Обучение и реакция. Проводить сценарные тренировки и оперативные процедуры реагирования на AiTM-атаки и компрометацию токенов SSO/OAuth.

Современные фишинговые кампании становятся более адаптивными и коммерчески ориентированными. Это требует от организаций перехода к проактивной защите, где ключевую роль играют мониторинг инфраструктуры, оперативная разведка и комплексные меры контроля сессий и доступа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: