Сложная фишинговая инфраструктура на базе Microsoft Azure Front Door

Источник: www.aitm-feed.com
Обнаружена сложная фишинговая инфраструктура с использованием Microsoft Azure Front Door и AiTM-атак
Недавнее расследование выявило масштабную и технически совершенную фишинговую кампанию, задействующую сервис Microsoft Azure Front Door для реализации атак с участием мошеннического промежуточного контрагента (Adversary-in-The-Middle, AiTM). Уникальность этой схемы заключается в использовании легитимных доменов Microsoft и многократных перенаправлений, что значительно затрудняет её обнаружение.
Кампания нацелена на ряд громких организаций, включая Всемирную продовольственную программу (WFP), ЮНИСЕФ, крупнейшие швейцарские СМИ и официальные email-адреса с доменом state.gov. Именно высокий профиль жертв делает эту угрозу особенно опасной.
Структура фишинговой инфраструктуры
Фишинговая инфраструктура разделена на два ключевых компонента — Инфраструктуру 1 и Инфраструктуру 2. Обе демонстрируют продвинутую техническую реализацию и схожие методы доставки вредоносной полезной нагрузки, однако различаются по механике перенаправления и тактике обфускации.
- Инфраструктура 1 — более сложная и многоуровневая. Для перенаправления пользователей используется от 6 до 7 промежуточных переходов. Начинается все с ранее легитимного веб-сайта ritba.org, который генерирует специальный хэш, используемый на стороне клиента.
- Хэш остаётся в URL до тех пор, пока код состояния не сигнализирует о завершении процесса перенаправления. Важно, что промежуточные сайты не имеют доступа к этому хэшу — его обработка происходит на более поздних этапах с помощью JavaScript.
- Цепочка перенаправлений включает различные домены, служащие для сбора телеметрии, такие как sophos.com и awstrack.me, после чего пользователь перенаправляется на страницы входа в Azure, где хэш расшифровывается.
Особенности конечной фишинговой страницы
Финальная страница фишинга представляет собой высокотехнологичный веб-ресурс с несколькими слоями защиты и обфускации:
- Использование библиотеки CryptoJS для шифрования и кодирования данных.
- Динамическое обновление контента на основе ввода пользователя без перезагрузки страницы — это позволяет обойти многие стандартные системы обнаружения и анализа.
- Поддержка различных способов передачи данных, включая комбинации email, паролей и многофакторную аутентификацию (MFA).
- Блокировка известных методов отчетности и предупреждение использования определённых доменов электронной почты при создании отчетов об инцидентах.
- Использование множества техник, препятствующих обратному проектированию: запутанные имена переменных, блокировка контекстного меню (щелчок правой кнопкой мыши), и применение строк в шестнадцатеричном коде.
Заключение: тренды в развитии фишинговых схем
Данная кампания демонстрирует значительный прогресс в инструментарии и тактиках злоумышленников: они не только регулярно обновляют методы обфускации, но и стремятся повторно использовать сложные кодовые базы в различных инфраструктурах, повышая их устойчивость к автоматическому обнаружению и анализу.
_Понимание принципов работы таких кампаний становится жизненно важным для специалистов по кибербезопасности_, стремящихся защитить организации от всё более изощренных и целенаправленных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



