СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 16:02
#ИБ#Облака

Фишинг в Atlassian Jira Cloud: спам-кампания с Keitaro TDS

С конца декабря 2025 года по конец января 2026 года была зафиксирована масштабная кампания по рассылке спама, в ходе которой злоумышленники использовали Atlassian Jira Cloud как инструмент доставки фишинговых сообщений. По стилю и целям рассылки это не была случайная массовая спам-акция — атакующие готовили сообщения с учетом языковых и отраслевых особенностей получателей и направляли их на конкретные аудитории, повышая шансы успешного вовлечения.

Краткая суть инцидента

Анализ кампании показал следующее:

  • Дата активности: конец декабря 2025 — конец января 2026.
  • Используемая инфраструктура: учетные записи и домены, связанные с Atlassian Jira Cloud, а также система перенаправления трафика Keitaro TDS.
  • Целевые языки: английский, французский, немецкий, итальянский, португальский и русский (включая квалифицированных российских экспатриантов).
  • Целевые сегменты: государственные и корпоративные структуры, организации, активно использующие Jira.
  • Цель: финансовая выгода — перенаправление на сомнительные инвестиционные площадки и сайты онлайн-казино.

Техника злоумышленников

В ходе расследования выявлены ключевые элементы методики:

  • Атака опиралась на доверие к доменам, ассоциированным с SaaS-продуктами Atlassian: письма выглядели как легитимные уведомления из Jira и отправлялись с облачных адресов, которые получатели были склонны считать безопасными.
  • Для перенаправления трафика использовалась Keitaro TDS, что позволило гибко распределять жертвы по целевым ресурсам (инвестиционные лэндинги, казино и т.д.).
  • Операторы кампании не проверяли владение доменами, использовали «встроенное» доверие к письмам, сгенерированным Atlassian, и не связывали зарегистрированные домены с поддельными названиями компаний — это было сознательной стратегией маскировки.
  • Контент писем адаптировался под конкретные организации и демографические профили, что повышало вероятность клика по ссылке и дальнейшей конверсии жертвы.

«Кампания успешно обходила традиционные механизмы защиты электронной почты за счет использования доверенного домена, связанного с SaaS-продуктами Atlassian.»

Почему организациям на Jira следует обеспокоиться

Организации, активно использующие Jira, особенно уязвимы по нескольким причинам:

  • Высокий объём уведомлений и привычка сотрудников доверять системным письмам повышают вероятность пропуска подозрительных сообщений.
  • Если письма внешне выглядят как легитимные уведомления от Jira, многие механизмы защиты (фильтры спама, базовые правила DKIM/SPF) могут не сработать в полной мере.
  • Таргетированность и локализация контента делают фишинг гораздо более убедительным для конкретных групп пользователей.

Последствия и мотивация злоумышленников

Аналитики связывают кампанию с финансовой мотивацией: использование Keitaro TDS указывает на коммерческую организацию потока трафика. Получатели перенаправлялись на ресурсы с сомнительными инвестиционными предложениями и онлайн-казино, что типично для кампаний, преследующих быстрый финансовый возврат.

Практические рекомендации

Чтобы снизить риски подобных атак, организациям, использующим Jira Cloud, следует рассмотреть следующие меры:

  • Усилить проверку исходящих писем: контролируйте настройки уведомлений в Jira, ограничьте возможности отправки писем сторонними интеграциями.
  • Проверить конфигурации SPF/DKIM/DMARC и убедиться, что они корректно настроены для всех доменов вашей инфраструктуры и не допускают подмены отправителя.
  • Внедрить URL-рефрайминг и проверку ссылок в почтовом шлюзе (click protection), а также сетевую фильтрацию входящего трафика по репутации доменов.
  • Ограничить и мониторить внешние интеграции и приложения в Jira, использовать принципы least privilege и аудит подключений.
  • Развернуть обучение сотрудников с упором на распознавание таргетированного фишинга и тестирование симулированных атак.
  • Использовать CASB/EDR и SIEM для корреляции инцидентов и обнаружения аномалий в поведении приложений и пользователей.
  • При обнаружении кампаний координироваться с Atlassian и поставщиками почтовой безопасности для ускоренной блокировки вредоносной инфраструктуры.

Вывод

Инцидент демонстрирует, что злоумышленники адаптируют свои методы, используя репутацию SaaS-платформ и распределённые TDS-инфраструктуры для обхода стандартных средств защиты. Для компаний, зависящих от Jira Cloud, это повод пересмотреть комбинированные меры безопасности: технологические контроли, управление интеграциями и регулярное повышение осведомлённости сотрудников. Без этих шагов риск повторных и более изощрённых атак останется высоким.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: