Abnormal Intelligence задокументувала VENOM, раніше невідому платформу PhaaS (Phishing-as-a-Service), що стоїть за п’ятимісячною кампанією, спрямованою проти керівників C-suite у понад 20 галузях. Вона систематично обходить MFA, щоб забезпечити стійкий доступ до Microsoft 365.
Хронологія атаки
КРОК 1
Доставка цільового фішингового листа
Ціль отримує сповіщення SharePoint про надання спільного доступу до документа, динамічно персоналізоване на основі її власного поштового домену. Адреса відправника, назва компанії та брендування у футері генеруються автоматично, щоб лист виглядав внутрішнім. QR-код, вбудований у лист, повністю відтворюється символами Unicode. Жодного графічного файла немає, а отже сканерам нічого обробляти.
КРОК 2
Сканування QR-коду на особистому пристрої
Після сканування сесія переноситься з керованої корпоративної кінцевої точки на особистий мобільний телефон цілі. Це дає змогу обійти корпоративні проксі та засоби захисту кінцевих точок. Електронна адреса цілі двічі кодується Base64 у фрагменті URL. Ця частина ніколи не передається на жоден сервер, тому залишається невидимою для проксі-логів і стрічок репутації URL.
КРОК 3
Фільтрація через верифікаційний шлюз
URL веде на підроблену сторінку перевірки на бота, що імітує Cloudflare або Microsoft Defender. Перш ніж щось завантажиться, шлюз непомітно перевіряє відвідувачів за допомогою аналізу User-Agent, перевірок репутації IP у режимі реального часу, прихованих honeypot-елементів і завдань proof-of-work. Засоби безпеки, сандбокси та аналітики загроз непомітно перенаправляються на безпечні сайти. Далі проходять лише справжні адресати атаки.
КРОК 4
Збирання облікових даних
Відвідувачі, які пройшли перевірку, потрапляють на сторінку входу Microsoft. Вона генерується в режимі реального часу на основі їхнього власного постачальника ідентифікації: з логотипом організації, попередньо заповненою адресою електронної пошти та реальною сторінкою федеративного IdP. У режимі AiTM кожен введений обліковий запис і код MFA миттєво передаються до API Microsoft, поки ціль вводить дані. У режимі Device Code ціль проходить автентифікацію безпосередньо на microsoft.com, а Microsoft передає токени на бекенд зловмисника.
КРОК 5
Закріплення доступу
Ще до того, як браузер цілі виконає перенаправлення, платформа реєструє контрольований зловмисником MFA-пристрій в обліковому записі Microsoft 365. У логах Entra ID це відображається як подія SoftwareTokenActivated з відображуваною назвою NO_DEVICE. Ціль потрапляє на справжню сторінку помилки Microsoft і сприймає це як збій входу. Сесія зловмисника на цей момент уже активна.
Соціальна інженерія на кожному етапі
VENOM вирізняється не якоюсь однією технічною можливістю. Вирішальним є те, наскільки системно кожен етап побудований навколо людської психології.
- Початкова приманка спирається на авторитет одразу двох джерел: довіреної внутрішньої інфраструктури та типових робочих дій. Імітація SharePoint, Dropbox, Docusign, DHL і UPS не є випадковою. Це платформи, з якими керівники рівня C-suite взаємодіють щодня в ситуаціях, де перегляд документа або підтвердження отримання сприймаються як рутина, а не як щось підозріле. Тема фінансового звіту додає ще й аспект терміновості. Керівники очікують, що фінансові документи потрібно швидко отримувати й опрацьовувати, часто без подвійної перевірки деталей відправника в умовах щільного графіка.
- Персоналізація підсилює цей ефект. Адреса відправника генерується з власного домену цілі. Назва компанії з’являється у футері. Лист читається так, ніби він надійшов зсередини організації. Це не типовий фішинг, а повідомлення, спеціально створене так, щоб виглядати точнісінько як те, що могла б надіслати сама організація цілі.
- На етапі верифікаційного шлюзу соціальна інженерія триває. Підроблена перевірка Cloudflare або Microsoft Defender – це форма, яку ціль уже бачила раніше, тобто звична перевірка безпеки. Її проходження сприймається як звичайна поведінка під час перегляду сайтів, а не як тривожний сигнал. Від людини вимагається виконати щось знайоме, а не щось нетипове.
Сторінка збирання облікових даних доводить цю логіку до завершення.
Сторінка входу, яку бачить ціль, не є статичною підробкою. Це жива дзеркальна копія фактичного постачальника ідентифікації з логотипом організації, зі справжнім сценарієм федеративної автентифікації та попередньо заповненою електронною адресою. У візуальному плані тут немає жодної невідповідності справжньому входу. Цей досвід неможливо відрізнити від реального саме тому, що в кожному видимому аспекті це і є реальний процес, просто переданий через контрольований зловмисником проміжний рівень.
У режимі Device Code соціальна інженерія ще тонша. Цілі взагалі не показується форма для введення облікових даних. Приманка подає взаємодію як перевірку документа Docusign: знайому, просту й таку, що спирається на довіру до відомого сервісу. «Код верифікації», який копіюється та вставляється на microsoft.com, подається як крок для доступу до документа, а не як авторизація облікового запису. Керівник виконує цілком дозволену дію у власній інфраструктурі Microsoft. Компрометація полягає виключно в тому, куди в підсумку потрапляють отримані токени.
У сукупності ці прийоми експлуатують два найбільш робочі важелі соціальної інженерії: авторитет (Microsoft, SharePoint, Docusign, внутрішнє брендування) і знайомість (звичні робочі процеси, які ціль виконує щодня, не замислюючись). Атака не вимагає від цілей нічого незвичного. Вона просить виконати те, що і так робиться постійно, але в контексті, спеціально побудованому так, щоб підозра не виникала.
Запобігання та усунення наслідків
VENOM – це технічна операція, успіх якої повністю залежить від людського фактора. Отже, найстійкіші засоби захисту тут також пов’язані з ним.
Проводити навчання саме для керівників, а не загальне.
Стандартної обізнаності про фішинг у цьому випадку недостатньо. Працівники рівня C-suite мають інший профіль загроз: цільовий фішинг, атаки через QR-коди, соціальна інженерія через голосові дзвінки та SMS. Їм потрібне навчання, адаптоване до цієї реальності. Програма Executive Protection від Arsen закриває саме цю прогалину. Вона містить індивідуалізовані симуляції та воркшопи, розраховані на ризики для керівництва: вішинг із клонуванням голосу, скоординовані двоетапні атаки, багатовекторні сценарії. Керівники, які вже бачили симуляцію таких атак, значно рідше піддаються на такі атаки через неуважність.
Імітувати атаки через QR-коди раніше, ніж зловмисники проведуть справжні.
Фішинг через QR-коди стає дедалі поширенішим вектором саме тому, що переносить атаку на некеровані мобільні пристрої поза межами корпоративних засобів захисту. Arsen пропонує як QR Code Phishing Test, так і QR Code Phishing Simulation. Це дає змогу оцінити рівень ризику та сформувати навичку розпізнавання таких атак ще до реального інциденту.
Відстежувати сигнали загрози, які залишає VENOM.
Можливість Threat Monitoring від Arsen відстежує схожі домени й такі, що змінені тайпосквотингом, а також витоки даних, пов’язані з організацією. Саме ці сигнали зловмисники використовують для створення персоналізованих приманок. Раннє виявлення витоку даних про керівників зменшує здатність зловмисника створювати переконливі імітації.
Посилити захист конфігурації Microsoft 365.
З технічного боку організаціям слід обмежити потік автентифікації Microsoft Device Code через Conditional Access там, де він не потрібен з операційного погляду. Потрібно відстежувати в логах аудиту Entra ID події SoftwareTokenActivated з відображуваною назвою NO_DEVICE – це форензичний слід, який VENOM залишає після реєстрації стійкого автентифікатора. Регламенти реагування на інциденти мають прямо включати відкликання всіх активних сесій, виданих токенів і несанкціонованих реєстрацій MFA в Entra ID. Одне лише скидання пароля не відкликає перехоплений токен оновлення (refresh token).
Поєднувати симуляції для всіх напрямів соціальної інженерії.
VENOM поєднує в межах однієї атаки фішинг, приманки через QR-коди та маскування під відомі сервіси. Підготовка до таких загроз теж має бути комплексною. Платформа фішингових симуляцій Arsen і програми підвищення обізнаності з безпеки створені для охоплення всього спектра, включно з цільовим фішингом, компрометацією робочих пошт та атаками через QR-коди, щоб жодна окрема техніка не залишалася незнайомою.
Підсумок
Чи захищає MFA від кампанії VENOM?
Ненадійно. VENOM використовує два режими збирання даних, які долають MFA різними механізмами. У режимі AiTM облікові дані та коди MFA миттєво передаються до API Microsoft, і зловмисник перехоплює автентифіковану сесію в момент її створення. У режимі Device Code ціль проходить автентифікацію безпосередньо в інфраструктурі Microsoft, а Microsoft передає отримані токени зловмиснику. В обох випадках MFA спрацьовує і завершується звичним чином. Воно не запобігає компрометації.
Чому ціллю стають саме керівники, а не всі працівники?
Керівники мають найширший доступ до чутливих фінансових даних, стратегічних комунікацій і організаційних повноважень. Компрометація облікового запису когось рівня C-suite – це надійна точка запуску подальших дій. Отримавши доступ до поштової скриньки CEO, зловмисник може ініціювати компрометацію робочої пошти, санкціонувати шахрайські грошові перекази та запускати подальший фішинг, який сам по собі має авторитетний вигляд і який важко відрізнити від справжньої комунікації.
Що робить фішингові листи VENOM настільки складними для виявлення?
Кожен лист генерується програмно й персоналізується індивідуально на основі одного вхідного параметра – електронної адреси цілі. Домен відправника виводиться з організації самої цілі. Назва компанії з’являється у футері. QR-код повністю рендериться символами Unicode без жодного графічного файлу. Кожне відправлення також містить рандомізовані HTML-елементи, завдяки яким жодні два листи не мають однакового хешу або збігу рядків, що дозволяє обходити виявлення на основі сигнатур.
Що має зробити організація, якщо є підозра, що вона стала ціллю?
Пріоритетною дією має бути не скидання пароля. Оскільки VENOM може перехоплювати OAuth refresh tokens, які зберігаються навіть після зміни облікових даних, постраждалі організації мають явно відкликати всі активні сесії, видані токени та реєстрації MFA-пристроїв в Entra ID. Потрібно переглянути логи на наявність подій SoftwareTokenActivated з відображуваною назвою NO_DEVICE. Стандартні регламенти реагування на інциденти можуть не містити цих кроків, тому їх слід додати завчасно.
Як організаціям підготуватися до атаки заздалегідь?
Найефективніша підготовка поєднує цільові симуляції з продуманим навчанням. Керівникам особливо потрібне знайомство з тими шаблонами атак, з якими вони найімовірніше зіткнуться: цільовим фішингом із внутрішнім брендуванням, приманками через QR-коди та процесами збирання облікових даних, які неможливо відрізнити від справжнього входу. Програма Executive Protection від Arsen створена саме для цього, а також доповнена моніторингом ризиків на основі OSINT, щоб виявляти загрози до того, як вони переростуть в інцидент.
Якщо ви бажаєте випробувати можливості платформи Arsen Security безкоштовно, будь ласка, залиште свої контактні дані у формі нижче:
