OAuth-атака через Microsoft доставляет вредоносный MSI

Исследователи Barricade Cyber раскрыли сложную вредоносную кампанию, демонстрирующую новый уровень эксплуатации доверенной облачной инфраструктуры. В её основе лежит техника misuse OAuth, позволяющая использовать подлинный URL входа в Microsoft (login.microsoftonline.com) как механизм открытого перенаправления для бесшумной доставки вредоносного установщика Windows. Жертва получает ссылку, которая выглядит безупречно для почтовых фильтров и систем проверки репутации, но в итоге запускает цепочку, обеспечивающую злоумышленникам постоянный удалённый доступ к корпоративным системам.

Оружие легитимности: эксплуатация OAuth-перенаправления

Ключевой особенностью атаки является отказ от традиционных фишинговых доменов. Злоумышленники регистрируют приложение в экосистеме Microsoft Azure с преднастроенным вредоносным URI перенаправления. Когда цель переходит по легитимному адресу login.microsoftonline.com, инициируется стандартный процесс OAuth-авторизации, однако после его завершения пользователь перенаправляется не на облачный сервис, а на загрузку MSI-файла, размещённого на подконтрольном атакующим ресурсе.

«Поскольку MSI-файл доставляется через сертифицированный домен Microsoft, традиционные меры безопасности, такие как почтовые фильтры и проверка URL, не способны обнаружить вредоносное поведение», — отмечается в отчёте Barricade Cyber.

Такая архитектура позволяет обходить периметровые средства защиты, полагающиеся на репутацию домена: ссылка действительно ведёт на доверенный ресурс Microsoft, и лишь после успешного редиректа происходит скрытая загрузка полезной нагрузки.

Многослойное закрепление: от Ninite до избыточного удалённого доступа

Доставленный MSI-пакет запускает пользовательскую DLL, разворачивающую агент Ninite Pro Remote с привилегиями SYSTEM. Это ключевой этап компрометации: агент автоматически регистрирует машину в консоли управления злоумышленника, предоставляя полноценные возможности удалённого выполнения команд. После установки атакующие не останавливаются на одном канале связи и немедленно развёртывают два дополнительных легитимных инструмента — TeamViewer и AnyDesk, создавая избыточную инфраструктуру доступа, устойчивую к попыткам блокировки отдельных приложений.

Механизм заражения выглядит следующим образом:

  • Фишинговая ссылка направляет жертву на login.microsoftonline.com с параметрами вредоносного OAuth-приложения.
  • После аутентификации или согласия происходит перенаправление на URL, инициирующий загрузку MSI.
  • MSI-файл, запущенный через msiexec.exe, устанавливает NiniteAgent.exe как службу Windows, работающую с правами SYSTEM.
  • Агент Ninite сразу же соединяется с управляющим сервером, регистрируя хост в подконтрольной злоумышленникам учётной записи.
  • В течение короткого времени на машине появляются TeamViewer и AnyDesk, обеспечивая дополнительные каналы для сохранения присутствия.

Признаки компрометации и практики защиты

Для своевременного выявления подобных атак специалистам по кибербезопасности рекомендуется сфокусироваться на следующих индикаторах:

  • Запуск Ninite.exe или NiniteAgent.exe процессом msiexec.exe в нестандартных сценариях.
  • Присутствие NiniteAgent.exe в списке служб Windows на хостах, где использование Ninite не было санкционировано.
  • Исходящие сетевые соединения к доменам Ninite с машин, не входящих в утверждённый пул легитимных установок.
  • Появление TeamViewer и AnyDesk в течение короткого промежутка времени после инсталляции Ninite-агента; любое несанкционированное средство удалённого управления должно рассматриваться как инцидент.

Организациям критически важно поддерживать строгие списки разрешённых программ для удалённого администрирования и контролировать их установку через централизованные политики. Анализ конечных точек должен быть настроен на выявление аномальных дочерних процессов msiexec.exe, а сетевой мониторинг — на обнаружение редких или единичных соединений с доменами, связанными с легитимными инструментами управления, используемыми вне утверждённых процедур.

Инцидент, описанный Barricade Cyber, в очередной раз подтверждает, что грань между доверенной инфраструктурой и инструментом атаки становится всё тоньше. Противодействие таким угрозам требует не только сигнатурного детектирования, но и продвинутых стратегий анализа поведения, способных заметить злоупотребление легитимными облачными сервисами на ранних стадиях вторжения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: