СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.09.2025
#ИБ#Инфра#Облака

VoidProxy: многоуровневая PhaaS-операция с AitM-прокси

VoidProxy: многоуровневая PhaaS-операция с AitM-прокси

Источник: sec.okta.com

Анализ, проведенный Okta Threat Intelligence, выявил сложную операцию «Фишинг как услуга» (PhaaS) под названием VoidProxy. Исследователи описывают её как многоуровневую и технически изощрённую кампанию, которая использует комбинацию доверенных сервисов и адаптивной инфраструктуры для обхода защит и кражи учётных данных.

«Жизненный цикл атаки состоит из нескольких отдельных этапов, которые повышают её эффективность против ничего не подозревающих пользователей», — отмечается в отчёте.

Ключевые этапы атаки

Схема атаки VoidProxy последовательно разделена на несколько звеньев, каждое из которых повышает шансы на успешное получение учётных данных:

  • Использование скомпрометированных аккаунтов ESP — злоумышленники применяют взломанные учётные записи от известных поставщиков электронной почты (ESP), таких как Constant Contact и Active Campaign, чтобы рассылать фишинговые приманки. Это помогает обходить спам-фильтры и формировать у получателей ложное чувство доверия.
  • Промежуточная фильтрация через Cloudflare Worker — при взаимодействии пользователя с приманкой браузер обращается к Cloudflare Worker, который выступает в роли «привратника» и загрузчика контента. Worker фильтрует входящий трафик и перенаправляет на страницу фишинга только тех пользователей, которые прошли заданные проверки.
  • Отделение этапов — архитектура разделяет этап фильтрации от непосредственного фишинга, что повышает вероятность успешного сбора учётных данных.
  • Перехват учётных данных и AitM — введённые пользователем логины и пароли (чаще всего от аккаунтов Microsoft или Google) пересылаются на основной сервер VoidProxy, который затем использует эти данные в промежуточной (AitM) прокси-атаке для беспрепятственного перехвата сессий и обеспечения постоянного доступа.

Инфраструктура и методы уклонения

Инфраструктура VoidProxy описывается как многослойная и устойчиво-адаптивная:

  • Эфемерные фронтенды с высокой текучестью — динамически меняющиеся точки входа, которые, вероятно, быстро исчезают и маловероятно будут обнаружены традиционными методами мониторинга.
  • Стабильный бэкенд на архитектуре Serverless — более постоянная часть инфраструктуры работает на Serverless-платформе, что повышает оперативную устойчивость кампании и затрудняет её блокировку.
  • Разделение ролей и слоёв — такое разделение фильтрации, загрузки приманок и хранения собранных данных усложняет работу защитных команд по классической трассировке и блокировке.

Почему это опасно

Сочетание доверенных ESP-аккаунтов, Cloudflare Worker и AitM-механики делает VoidProxy особенно эффективным против невнимательных пользователей и организаций с недостаточно строгими контролями доступа. Злоумышленники не просто собирают одноразовые учётные данные — они получают возможность поддерживать доступ к сессиям и обходить механизмы обнаружения, что повышает риск длительного компромета.

Выводы и краткие рекомендации

Отчёт Okta подчеркивает, что современные PhaaS-операции идут дальше простого массового фишинга: они используют доверенные цепочки поставщиков и гибкие облачные компоненты, чтобы повысить устойчивость и скрытность. Чтобы снизить риски, организациям стоит обратить внимание на следующие меры:

  • Усилить мониторинг аутентификации и детектирование подозрительной активности, особенно связанной с учётными записями Microsoft и Google.
  • Ограничить доверие к входящим письмам, даже если они приходят от известных ESP-поставщиков; внедрить контроль целостности отправителей и дополнительную проверку ссылок.
  • Использовать многофакторную аутентификацию и механизмы защиты сессий, чтобы усложнить злоумышленникам реализацию AitM-атак.
  • Повысить осведомлённость сотрудников о том, что легитимный отправитель письма сам по себе не гарантирует безопасности содержимого.

Исследование Okta демонстрирует, что противодействие современным фишинг-кампаниям требует одновременно технических контрмер и человеческой бдительности: злоумышленники продолжают интегрировать легитимные сервисы и облачные возможности в свои инструменты, делая обнаружение и нейтрализацию всё более сложной задачей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: