СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.12.2025
#ИБ

Кампания фишинга SSO: обход MFA в Okta и Microsoft 365

Недавно выявлена активная и технологично продвинутая фишинговая кампания, нацеленная на организации, использующие Microsoft 365 и Okta для единого входа (SSO). Атакующие эксплуатируют уязвимости в механизмах многофакторной аутентификации (MFA), заставляя легитимные потоки аутентификации работать в свою пользу и похищая учетные данные и сеансовые токены.

Суть атаки

Кампания строится по схеме «второго этапа» фишинга: жертва сначала попадает на поддельную страницу, имитирующую страницу входа Okta, а затем этот сайт действует как прокси для подлинного клиента Okta организации. В результате злоумышленники сохраняют настройки исходного клиента и получают доступ к учетным данным и токенам сеанса, обходя многие стандартные механизмы защиты, включая MFA для неосведомленных пользователей.

В рамках атаки используются домены-двойники, например sso.oktasecure.io и sso.okta-cloud.com, а также специальный параметр в URL, указывающий на целевого клиента Okta — это позволяет фишинговой странице сохранять видимость подлинности и повышает вероятность успешного перехвата.

Microsoft 365 в прицеле

Помимо поддельных страниц Okta, кампания включает страницы, стилистически связанные с Microsoft 365. Такие страницы перенаправляют трафик на легитимные конечные точки Microsoft, одновременно собирая учетные данные и cookies сеанса пользователей. Особенно уязвимы пользователи, для которых Okta выступает как federated identity provider при доступе к Microsoft 365.

Исследователи отмечают: «Стратегия направлена на пользователей Okta, получающих доступ к Microsoft 365 через федерацию — это свидетельствует о высоком уровне планирования и технической продуманности атаки».

Почему это опасно

  • Атака сохраняет и использует настройки исходного клиента Okta, что повышает доверие жертвы к поддельной странице.
  • Использование проксирования подлинных Okta-потоков позволяет обходить многие механизмы MFA.
  • Интеграция с Microsoft 365 расширяет потенциальный ущерб: доступ к корпоративной почте, файлам и другим ресурсам.
  • Злоумышленники опираются на тщательно спланированные redirect- и proxy-механизмы, что усложняет обнаружение атаки обычными средствами.

Индикаторы компрометации (IoC) и что проверять

Организациям рекомендуется срочно проанализировать логи и события в своих системах аутентификации и почтовых сервисах:

  • Проверить журналы Okta на предмет попыток несанкционированной аутентификации и атипичных redirect-потоков.
  • Для пользователей Okta FastPass — искать события с именем user.authentication.auth_via_mfa, которые могут указывать на попытки фишинга.
  • Анализировать логи Microsoft 365 на предмет доступа к сообщениям, связанным с кампанией (по известным строкам темы) и по нетипичным сессиям/cookie.
  • Идентифицировать обращения к доменам-двойникам и подозрительным URL-параметрам, указывающим на targeted Okta client.

Рекомендации по защите и реагированию

  • Усилить мониторинг и оповещения по событиям аутентификации в Okta и по аномальным сессиям Microsoft 365.
  • Провести разъяснительную работу с пользователями о признаках фишинга и проверить подозрительные письма вручную перед переходом по ссылкам.
  • Ограничить доверие к любым перенаправлениям SSO и внедрить политики проверок исходных доменов для ссылок в почтовых сообщениях.
  • Рассмотреть дополнительные механизмы защиты с меньшей подверженностью фишингу, такие как hardware-backed keys или phishing-resistant MFA, где это возможно.
  • При обнаружении компрометации — немедленно отозвать сеансовые токены и пересмотреть журналы доступа для выявления дальнейшего перемещения злоумышленника.

Вывод

Эта кампания иллюстрирует, что злоумышленники развивают сложные методы обхода MFA и используют глубокое понимание SSO-флоу для получения доступа к корпоративным ресурсам. Организациям, использующим Okta и Microsoft 365, необходимо повысить бдительность, оперативно проверять журналы аутентификации и внедрять дополнительные меры защиты против фишинга, нацеленного на федеративные сценарии доступа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: