Pink атакует Okta и Entra ID через фишинг и vishing

Группа Pink Data Extortion Group стала заметным игроком на ландшафте киберугроз, сделав ставку не на классическое шифрование данных, а на эксфильтрацию и кражу учетных данных. По данным отчета, злоумышленники используют продвинутые схемы phishing и vishing, целясь в высокоценные организации и выстраивая операции так, чтобы оставаться максимально незаметными для защитников.

Фокус на учетных данных, а не на шифровании

В отличие от традиционных ransomware-кампаний, деятельность Pink строится вокруг компрометации учетных записей и последующего вывода данных. Такой подход позволяет атакующим не только обходить многие механизмы защиты, но и дольше сохранять доступ к инфраструктуре жертвы, не привлекая лишнего внимания.

Эксперты отмечают, что группа, по всей видимости, является rebranding уже существующих злоумышленников, связанных с сетью Com. Их ключевая особенность — акцент на скрытных операциях, направленных на максимизацию ущерба без немедленного раскрытия атаки.

Phishing-наборы для Okta и Microsoft Entra ID

Pink использует сложные phishing-наборы, специально адаптированные под среды Okta и Microsoft Entra ID. Эти инструменты построены по многоуровневой схеме атаки и начинаются с проверки окружения, которая помогает злоумышленникам выявлять исследователей безопасности и избегать обнаружения.

Одной из особенностей инфраструктуры является использование управляемых через backend фильтров: они пропускают только легитимные цели, а автоматические сканеры блокируют сразу. После этого жертва попадает на динамический интерфейс, который имитирует настоящую страницу аутентификации и позволяет незаметно собирать учетные данные.

Обход MFA через social engineering

Отдельное внимание в отчете уделяется тому, как наборы Pink обходят MFA. Для этого применяются приемы social engineering, которые подталкивают жертву самостоятельно передать код подтверждения или данные passkey, полагая, что действует в рамках обычного процесса входа.

В случае с набором, нацеленным на Microsoft Entra ID, зафиксирована возможность динамически управлять процессом передачи учетных данных. Злоумышленники используют real-time connections, чтобы адаптироваться к действиям пользователя в ходе атаки.

Похожая логика реализована и в наборе для Okta: он обеспечивает бесшовный сбор данных и одновременно применяет скрытые каналы коммуникации для эксфильтрации.

Приоритетные цели — high-value отрасли в США

Операционный фокус Pink указывает на явное предпочтение к отраслям с высокой ценностью данных:

• healthcare;
• technology;
• financial services.

Наиболее часто под ударом оказываются организации в United States. Такой выбор соответствует стратегии, которую в отчете называют “Hunting Big Game” — атаке на крупные и потенциально наиболее прибыльные цели. Для злоумышленников это логично: именно в этих секторах сосредоточены чувствительные данные и критически важные бизнес-процессы.

Инфраструктура и маскировка

Инфраструктура, поддерживающая операции Pink, также демонстрирует зрелый уровень подготовки. Группа активно полагается на надежные hosting services и тщательно выстроенные практики domain registration, включая регистрацию subdomains, которые визуально повторяют branding жертв.

Такая схема помогает повышать доверие у пользователей и облегчает прохождение первых этапов атаки. В совокупности это делает Pink опасным и технически зрелым противником, способным сочетать social engineering, инфраструктурную маскировку и точечный сбор учетных данных в единый, хорошо выстроенный процесс.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.