Схема подделки журнала Microsoft «Sneaky Log» обходит двухфакторную защиту

Исследователи безопасности французской компании Sekoia обнаружили в декабре 2024 года новый набор фишинговых атак, нацеленных на учетные записи Microsoft 365, о чем компания сообщила 16 января.

Набор, названный Sneaky 2FA, распространялся через Telegram сервисом злоумышленников Sneaky Log. Он связан примерно со 100 доменами и активен по крайней мере с октября 2024 года.

Sneaky 2FA — это атака типа «злоумышленник посередине», то есть она перехватывает информацию, передаваемую между двумя устройствами: в данном случае устройством с Microsoft 365 и фишинговым сервером. Sneaky 2FA относится к классу атак по компрометации деловой электронной почты.

«Экосистема киберпреступности, связанная с фишингом AiTM и атаками по взлому деловой электронной почты (BEC), постоянно развивается, при этом злоумышленники по мере возможности мигрируют с одной платформы PhaaS на другую, предположительно, исходя из качества фишингового сервиса и конкурентоспособной цены», — написали аналитики Sekoia Квентин Бург и Грегуар Клермон в своем анализе атаки.

Как работает набор услуг по фишингу Sneaky 2FA?

Sneaky Log продает доступ к фишинговому набору через чат-бота в Telegram. После оплаты клиентом Sneaky Log предоставляет доступ к исходному коду Sneaky 2FA. Sneaky Log использует скомпрометированные веб-сайты WordPress и другие домены для размещения страниц, которые запускают фишинговый набор.

Мошенничество заключается в показе потенциальной жертве поддельной страницы аутентификации Microsoft. Затем Sneaky 2FA показывает страницу Cloudflare Turnstile с окном-подсказкой «Подтвердите, что вы человек».

Если жертва предоставляет данные своей учетной записи, ее адрес электронной почты и пароль будут отправлены на фишинговый сервер. Сервер Sneaky Log обнаруживает доступные методы 2FA для учетной записи Microsoft 365 и предлагает пользователю следовать им.

Пользователь будет перенаправлен на реальный URL-адрес Office365, но фишинговый сервер теперь может получить доступ к учетной записи пользователя через API Microsoft 365.

Если посетитель фишингового сайта является ботом, облачным провайдером, прокси, VPN, исходит из центра обработки данных или использует IP-адрес, «связанный с известным злоупотреблением», страница перенаправляет на связанную с Microsoft запись в Wikipedia. Исследовательская группа по безопасности TRAC Labs обнаружила подобную технику в декабре 2024 года в фишинговой схеме, которую они назвали WikiKit.

Sekoia отметила, что набор Sneaky Log имеет общий исходный код с другим набором фишинга, обнаруженным компанией-платформой рисков Group-1B в сентябре 2023 года. Этот набор был связан с субъектом угроз под названием W3LL.

Sneaky Log продает Sneaky 2FA за $200 в месяц, оплата в криптовалюте. Sekoia сказал, что это немного дешевле, чем наборы, которые предлагают конкуренты Sneaky Log.

СМ.: Многофакторная аутентификация и спам-фильтры могут снизить риск фишинга, но сотрудники, владеющие приемами социальной инженерии, являются первой линией обороны.

Как обнаружить и нейтрализовать скрытую 2FA

По словам Секойи, действия, связанные с Sneaky 2FA, можно обнаружить в журнале аудита Microsoft 365 пользователя.

В частности, исследователи безопасности, изучающие попытку фишинга, могут увидеть разные жестко закодированные строки User-Agent для HTTP-запросов на каждом этапе процесса аутентификации. Это было бы маловероятно, если бы этапы аутентификации пользователя были безобидными.

Sekoia опубликовала правило обнаружения Sigma, которое «выискивает событие Login:login с Safari на iOS User-Agent и событие Login:resume с Edge на Windows User-Agent, имеющие одинаковый идентификатор корреляции и происходящие в течение 10 минут».

Специалисты по безопасности могут напоминать сотрудникам о необходимости избегать взаимодействия с подозрительными электронными письмами, включая те, которые звучат как срочные или пугающие. Sekoia обнаружила Sneaky 2FA во вредоносном вложении к электронному письму под названием «Final Lien Waiver.pdf», содержащем QR-код. URL-адрес, встроенный в QR-код, вел на скомпрометированную страницу.

Другие недавние попытки фишинга были направлены против Microsoft

Повсеместность Microsoft делает ее богатым угодьем для злоумышленников, независимо от того, проводят ли они атаки напрямую или продают инструменты фишинга как услугу.

В 2023 году группа Microsoft Threat Intelligence раскрыла фишинговый набор, нацеленный на такие сервисы, как Office или Outlook. Позже в том же году Proofpoint сняла маску с ExilProxy, фишингового набора, который мог обойти двухфакторную аутентификацию.

В октябре 2024 года компания Check Point предостерегла пользователей продуктов Microsoft от изощренных мошенников, пытающихся украсть данные учетных записей.