20/08/25
/Cisco2-3.png?width=371&height=194&name=Cisco2-3.png)
Исследователи Raven зафиксировали кампанию по краже учётных данных, в которой злоумышленники научились эксплуатировать технологию Cisco Safe Links. Этот инструмент встраивается в систему фильтрации почтового трафика и подменяет подозрительные ссылки, перенаправляя их через собственную инфраструктуру Cisco для анализа.
Идея атаки заключается в том, что пользователь или система безопасности по умолчанию доверяют домену «secure-web.cisco.com», считая его безопасным, пишет Securitylab. Именно это доверие и превратилось в оружие: атакующие начали прикрываться ссылками с этим префиксом, чтобы обманывать фильтры и людей.
Эксперты Raven зафиксировали несколько техник злоумышленников по созданию Safe Links, пригодных для атак. Чаще всего они захватывают учётные записи внутри компаний, защищённых Cisco, и рассылают вредоносные письма сами себе, после чего используют сгенерированные ссылки в целевых кампаниях. Также встречается использование сторонних сервисов, отправляющих письма через инфраструктуру Cisco, и даже повторное применение ранее созданных работающих Safe Links.
Один из последних примеров представлял собой письмо с запросом на просмотр документа, замаскированное под сервис электронных подписей. Оно выглядело максимально профессионально, с фирменным стилем и деловой лексикой. При этом классические почтовые фильтры не сработали, так как видели перед собой адрес в домене Cisco. Только подробный анализ, учитывающий не только технические признаки, но и контекст деловой переписки, смог выявить несоответствия: подозрительные параметры в URL и аномалии в бизнес-процессах.
Опасность в том, что такие атаки выглядят безупречно с технической точки зрения. Всё зло скрыто в поведении и контексте, а не в привычных индикаторах вроде поддельных доменов. Большинство систем защиты сосредоточено именно на репутации адресов, поэтому домены Cisco пропускаются автоматически. Это говорит о качественном сдвиге в методах киберпреступников: они всё чаще эксплуатируют не уязвимости в коде, а доверие к известным брендам и привычным процессам.
