OAuth-атака через Microsoft доставляет вредоносный MSI
Исследователи Barricade Cyber раскрыли сложную вредоносную кампанию, демонстрирующую новый уровень эксплуатации доверенной облачной инфраструктуры. В её основе лежит техника misuse OAuth, позволяющая использовать подлинный URL входа в Microsoft (login.microsoftonline.com) как механизм открытого перенаправления для бесшумной доставки вредоносного установщика Windows. Жертва получает ссылку, которая выглядит безупречно для почтовых фильтров и систем проверки репутации, но в итоге запускает цепочку, обеспечивающую злоумышленникам постоянный удалённый доступ к корпоративным системам.
Оружие легитимности: эксплуатация OAuth-перенаправления
Ключевой особенностью атаки является отказ от традиционных фишинговых доменов. Злоумышленники регистрируют приложение в экосистеме Microsoft Azure с преднастроенным вредоносным URI перенаправления. Когда цель переходит по легитимному адресу login.microsoftonline.com, инициируется стандартный процесс OAuth-авторизации, однако после его завершения пользователь перенаправляется не на облачный сервис, а на загрузку MSI-файла, размещённого на подконтрольном атакующим ресурсе.
«Поскольку MSI-файл доставляется через сертифицированный домен Microsoft, традиционные меры безопасности, такие как почтовые фильтры и проверка URL, не способны обнаружить вредоносное поведение», — отмечается в отчёте Barricade Cyber.
Такая архитектура позволяет обходить периметровые средства защиты, полагающиеся на репутацию домена: ссылка действительно ведёт на доверенный ресурс Microsoft, и лишь после успешного редиректа происходит скрытая загрузка полезной нагрузки.
Многослойное закрепление: от Ninite до избыточного удалённого доступа
Доставленный MSI-пакет запускает пользовательскую DLL, разворачивающую агент Ninite Pro Remote с привилегиями SYSTEM. Это ключевой этап компрометации: агент автоматически регистрирует машину в консоли управления злоумышленника, предоставляя полноценные возможности удалённого выполнения команд. После установки атакующие не останавливаются на одном канале связи и немедленно развёртывают два дополнительных легитимных инструмента — TeamViewer и AnyDesk, создавая избыточную инфраструктуру доступа, устойчивую к попыткам блокировки отдельных приложений.
Механизм заражения выглядит следующим образом:
- Фишинговая ссылка направляет жертву на login.microsoftonline.com с параметрами вредоносного OAuth-приложения.
- После аутентификации или согласия происходит перенаправление на URL, инициирующий загрузку MSI.
- MSI-файл, запущенный через msiexec.exe, устанавливает NiniteAgent.exe как службу Windows, работающую с правами SYSTEM.
- Агент Ninite сразу же соединяется с управляющим сервером, регистрируя хост в подконтрольной злоумышленникам учётной записи.
- В течение короткого времени на машине появляются TeamViewer и AnyDesk, обеспечивая дополнительные каналы для сохранения присутствия.
Признаки компрометации и практики защиты
Для своевременного выявления подобных атак специалистам по кибербезопасности рекомендуется сфокусироваться на следующих индикаторах:
- Запуск Ninite.exe или NiniteAgent.exe процессом msiexec.exe в нестандартных сценариях.
- Присутствие NiniteAgent.exe в списке служб Windows на хостах, где использование Ninite не было санкционировано.
- Исходящие сетевые соединения к доменам Ninite с машин, не входящих в утверждённый пул легитимных установок.
- Появление TeamViewer и AnyDesk в течение короткого промежутка времени после инсталляции Ninite-агента; любое несанкционированное средство удалённого управления должно рассматриваться как инцидент.
Организациям критически важно поддерживать строгие списки разрешённых программ для удалённого администрирования и контролировать их установку через централизованные политики. Анализ конечных точек должен быть настроен на выявление аномальных дочерних процессов msiexec.exe, а сетевой мониторинг — на обнаружение редких или единичных соединений с доменами, связанными с легитимными инструментами управления, используемыми вне утверждённых процедур.
Инцидент, описанный Barricade Cyber, в очередной раз подтверждает, что грань между доверенной инфраструктурой и инструментом атаки становится всё тоньше. Противодействие таким угрозам требует не только сигнатурного детектирования, но и продвинутых стратегий анализа поведения, способных заметить злоупотребление легитимными облачными сервисами на ранних стадиях вторжения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



