Abnormal Intelligence задокументировала VENOM, ранее неизвестную платформу PhaaS (Phishing-as-a-Service), стоящую за пятимесячной кампанией, направленной против руководителей C-suite в более чем 20 отраслях. Она систематически обходит MFA, чтобы обеспечить устойчивый доступ к Microsoft 365.
Хронология атаки
ШАГ 1
Доставка целевого фишингового письма
Цель получает уведомление SharePoint о предоставлении общего доступа к документу, динамически персонализированное на основе собственного почтового домена. Адрес отправителя, название компании и брендирование в футере генерируются автоматически, чтобы письмо выглядело внутренним. QR-код, встроенный в письмо, полностью воспроизводится символами Unicode. Никакого графического файла нет, а значит сканерам нечего обрабатывать.
ШАГ 2
Сканирование QR-кода на личном устройстве
После сканирования сессия переносится с управляемой корпоративной конечной точки на личный мобильный телефон цели. Это позволяет обойти корпоративные прокси и средства защиты конечных точек. Электронный адрес цели дважды кодируется Base64 в фрагменте URL. Эта часть никогда не передается ни на один сервер, поэтому остается невидимой для прокси-логов и лент репутации URL.
ШАГ 3
Фильтрация через верификационный шлюз
URL ведет на поддельную страницу проверки на бота, имитирующего Cloudflare или Microsoft Defender. Прежде чем что-нибудь загрузится, шлюз незаметно проверяет посетителей с помощью анализа User-Agent, проверок репутации IP в режиме реального времени, скрытых honeypot-элементов и задач proof-of-work. Средства безопасности, сандбоксы и аналитики угроз незаметно перенаправляются на безопасные сайты. Далее проходят только настоящие адресаты атаки.
ШАГ 4
Сбор учетных данных
Прошедшие проверку посетители попадают на страницу входа Microsoft. Она генерируется в режиме реального времени на основе их собственного поставщика идентификации с логотипом организации, предварительно заполненным адресом электронной почты и реальной страницей федеративного IdP. В режиме AiTM каждая вводимая учетная запись и код MFA мгновенно передаются в API Microsoft, пока цель вводит данные. В Device Code цель проходит аутентификацию непосредственно на microsoft.com, а Microsoft передает токены на бэкенд злоумышленника.
ШАГ 5
Закрепление доступа
Еще до того, как браузер цели выполнит перенаправление, платформа регистрирует контролируемое злоумышленником MFA-устройство в аккаунте Microsoft 365. В логах Entra ID это отображается как событие SoftwareTokenActivated с отображаемым названием NO_DEVICE. Цель попадает на настоящую страницу ошибки Microsoft и воспринимает это как сбой входа. Сессия злоумышленника к настоящему моменту уже активна.
Социальная инженерия на каждом этапе
VENOM отличается не какой-то одной технической возможностью. Решающим является то, как системно каждый шаг построен вокруг человеческой психологии.
- Первоначальная приманка опирается на авторитет сразу двух источников: доверенной внутренней инфраструктуры и типичных рабочих действий. Имитация SharePoint, Dropbox, Docusign, DHL и UPS не случайна. Это платформы, с которыми руководители уровня C-suite взаимодействуют ежедневно в ситуациях, где пересмотр документа или подтверждение получения воспринимаются как рутина, а не как что-то подозрительное. Тема финансового отчета придает еще и аспект срочности. Руководители ожидают, что финансовые документы нужно быстро получать и обрабатывать, зачастую без двойной проверки деталей отправителя в условиях плотного графика.
- Персонализация усиливает этот эффект. Адрес отправителя генерируется из собственного домена цели. Название компании появляется в футере. Письмо читается так, будто оно поступило изнутри организации. Это не типичный фишинг, а сообщение, специально созданное так, чтобы выглядеть точно как то, что могла бы отправить сама организация цели.
- На этапе верификационного шлюза социальная инженерия продолжается. Поддельная проверка Cloudflare или Microsoft Defender – это форма, которую цель уже видела раньше, то есть привычная проверка безопасности. Ее прохождение воспринимается как обычное поведение при просмотре сайтов, а не как тревожный сигнал. От человека требуется выполнить что-нибудь знакомое, а не что-то нетипичное.
Страница сбора учетных данных доводит эту логику до завершения.
Страница входа, которую видит цель, не статическая подделка. Это живая зеркальная копия фактического поставщика идентификации с логотипом организации, с подлинным сценарием федеративной аутентификации и предварительно заполненным электронным адресом. В визуальном плане здесь нет никакого несоответствия настоящему входу. Этот опыт невозможно отличить от реального именно потому, что в каждом видимом аспекте и есть реальный процесс, просто переданный через контролируемый злоумышленником промежуточный уровень.
В режиме Device Code социальная инженерия еще тоньше. Цели вообще не показывается форма для ввода учетных данных. Приманка представляет взаимодействие как проверку документа Docusign: знакомую, простую и опирающуюся на доверие к известному сервису. «Код верификации», который копируется и вставляется на microsoft.com, подается как шаг для доступа к документу, а не как авторизация учетной записи. Руководитель производит вполне разрешенное действие в собственной инфраструктуре Microsoft. Компрометация состоит только в том, куда в итоге попадают полученные токены.
В совокупности эти приемы эксплуатируют два наиболее рабочих рычага социальной инженерии: авторитет (Microsoft, SharePoint, Docusign, внутреннее брендирование) и знакомость (привычные рабочие процессы, которые цель выполняет ежедневно, не задумываясь). Атака не требует от целей ничего необычного. Она просит проделать то, что и так делается постоянно, но в контексте, специально построенном так, чтобы подозрение не возникало.
Предотвращение и устранение последствий
VENOM – это техническая операция, успех которой полностью зависит от человеческого фактора. Следовательно, самые стойкие способы защиты здесь также связаны с ним.
Проводить обучение именно для руководителей, а не всеобщее.
Стандартной осведомленности о фишинге в этом случае недостаточно. Сотрудники уровня C-suite имеют другой профиль угроз: целевой фишинг, атаки через QR-коды, социальная инженерия через голосовые звонки и SMS. Им нужно обучение, адаптированное к этой реальности. Программа Executive Protection от Arsen закрывает именно этот пробел. Она включает в себя индивидуализированные симуляции и воркшопы, рассчитанные на риски для руководства: вишинг с клонированием голоса, скоординированные двухэтапные атаки, многовекторные сценарии. Руководители, которые уже видели симуляцию таких атак, значительно реже подвергаются таким атакам по невнимательности.
Имитировать атаки через QR-коды раньше, чем злоумышленники проведут подлинные.
Фишинг через QR-коды становится все более распространенным вектором именно потому, что переносит атаку на неуправляемые мобильные устройства вне корпоративных средств защиты. Arsen предлагает как QR Code Phishing Test, так и QR Code Phishing Simulation. Это позволяет оценить уровень риска и сформировать навык распознавания таких атак еще до реального инцидента.
Отслеживать сигналы угрозы, оставленные VENOM.
Возможность Threat Monitoring от Arsen отслеживает похожие домены и те, что изменены тайпосквотингом, а также утечки данных, связанные с организацией. Именно эти сигналы злоумышленники используют для создания персональных приманок. Раннее обнаружение утечки данных о руководителях уменьшает способность злоумышленника создавать убедительные имитации.
Усилить защиту конфигурации Microsoft 365
С технической стороны организациям следует ограничить поток проверки подлинности Microsoft Device Code через Conditional Access там, где он не нужен с операционной точки зрения. Следует отслеживать в логах аудита Entra ID события SoftwareTokenActivated с отображаемым названием NO_DEVICE – это форензический след, который VENOM оставляет после регистрации стойкого аутентификатора. Регламенты реагирования на инциденты должны включать в себя отзыв всех активных сессий, выданных токенов и несанкционированных регистраций MFA в Entra ID. Один только сброс пароля не отзывает перехваченный токен обновления (refresh token).
Сочетать симуляции для всех направлений социальной инженерии.
VENOM объединяет в пределах одной атаки фишинг, приманки через QR-коды и маскировку под известные сервисы. Подготовка к таким угрозам должна быть комплексной. Платформа фишинговых симуляций Arsen и программы повышения осведомленности по безопасности созданы для охвата всего спектра, включая целевой фишинг, компрометацию рабочих почт и атаки через QR-коды, чтобы ни одна отдельная техника не оставалась незнакомой.
Итог
Защищает ли MFA от кампании VENOM?
Ненадежно. VENOM использует два режима сбора данных, преодолевающих MFA разными механизмами. В режиме AiTM учетные данные и коды MFA мгновенно передаются API Microsoft, и злоумышленник перехватывает аутентифицированную сессию в момент ее создания. В режиме Device Code цель проходит аутентификацию непосредственно в инфраструктуре Microsoft, а Microsoft передает полученные токены злоумышленнику. В обоих случаях MFA срабатывает и завершается обычным образом. Оно не предотвращает компрометацию.
Почему целью становятся именно руководители, а не все работники?
Руководители имеют самый широкий доступ к чувствительным финансовым данным, стратегическим коммуникациям и организационным полномочиям. Компрометация аккаунта кого-то уровня C-suite – это надежная точка запуска дальнейших действий. Получив доступ к почтовому ящику CEO, злоумышленник может инициировать компрометацию рабочей почты, санкционировать мошеннические денежные переводы и запускать дальнейший фишинг, который сам по себе выглядит авторитетно и который трудно отличить от настоящей коммуникации.
Что делает фишинговые письма VENOM настолько сложными для обнаружения?
Каждое письмо генерируется программно и персонализируется индивидуально на основе одного входного параметра – почтового адреса цели. Домен отправителя выводится из организации цели. Название компании появляется в футере. QR-код полностью рендерится символами Unicode без графического файла. Каждая отправка также содержит рандомизированные HTML-элементы, благодаря которым никакие два письма не имеют одинакового хеша или совпадения строк, что позволяет обходить обнаружение на основе сигнатур.
Что должна сделать организация, если есть подозрение, что она стала целью?
Приоритетным действием должен быть не сброс пароля. Поскольку VENOM может перехватывать хранящиеся даже после изменения учетных данных OAuth refresh tokens, пострадавшие организации должны явно отзывать все активные сессии, выданные токены и регистрации MFA-устройств в Entra ID. Следует просмотреть логи на наличие событий SoftwareTokenActivated с отображаемым названием NO_DEVICE. Стандартные регламенты реагирования на инциденты могут не содержать этих шагов, поэтому их следует добавить заранее.
Как организациям подготовиться к атаке заранее?
Эффективная подготовка сочетает целевые симуляции с продуманным обучением. Руководителям особенно нужно знакомство с теми шаблонами атак, с которыми они, скорее всего, столкнутся: целевым фишингом с внутренним брендированием, приманками через QR-коды и процессами сбора учетных данных, которые невозможно отличить от настоящего входа. Программа Executive Protection от Arsen создана именно для этого, а также дополнена мониторингом рисков на основе OSINT, чтобы обнаруживать угрозы перед тем, как они перерастут в инцидент.
Если вы хотите испытать возможности платформы Arsen Security бесплатно, оставьте свои контактные данные в форме ниже:
