СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
20.08.2025
#ИБ

Хакеры используют защитные технологии Cisco для атак на клиентов компании

Хакеры используют защитные технологии Cisco для атак на клиентов компании

Изображение: Zozz_ (pixabay)

Исследователи из Raven зафиксировали серию кибератак, в которых преступники научились использовать механизмы защиты Cisco против самих пользователей. В основе атак лежит технология Safe Links — компонент фильтрации почтового трафика, встроенный в инфраструктуру Cisco. Она предназначена для проверки подозрительных ссылок путём их автоматической замены на безопасные префиксы с доменом secure-web.cisco.com, чтобы затем анализировать содержимое на предмет угроз.

Злоумышленники воспользовались тем, что и люди, и автоматические системы по умолчанию доверяют такому адресу. Ссылки с доменом Cisco проходят репутационные фильтры большинства почтовых систем, что делает их идеальным инструментом для маскировки фишинговых атак.

По данным Raven, хакеры начали подделывать легитимные Safe Links несколькими способами. Один из наиболее эффективных — захват корпоративных аккаунтов в организациях, уже использующих Cisco. Через эти взломанные учётные записи они рассылают вредоносные письма на собственные адреса, чтобы сгенерировать рабочие Safe Links, которые позже используются в атаках на внешние цели. Также наблюдаются случаи, когда злоумышленники применяют сторонние сервисы для отправки писем, проходящих через инфраструктуру Cisco, либо повторно используют ранее созданные валидные ссылки.

Один из недавних эпизодов описан как фишинговое письмо с приглашением ознакомиться с «документом для электронной подписи». Сообщение оформлено с соблюдением деловой стилистики и фирменного дизайна. Из-за того что ссылка содержит домен secure-web.cisco.com, защита на стороне получателя не сработала. Выявить угрозу удалось только при ручной проверке: в URL обнаружились подозрительные параметры, а содержание письма не соответствовало привычной бизнес-логике.

Особенность таких атак в том, что они не нарушают технических стандартов: используются легитимные адреса, не эксплуатируются уязвимости в коде, и внешне письмо не вызывает подозрений. Вся вредоносная активность прячется в контексте и поведении — и это создаёт серьёзные сложности для традиционных систем защиты, ориентированных на репутационные механизмы.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: