Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Киберпреступники притворялись доверенными разработчиками Microsoft для взлома корпоративной почты

02/02/23

Microsoft заявила, что отключила поддельные учетные записи Microsoft Partner Network (MPN), которые использовались для создания вредоносных OAuth-приложений в рамках вредоносной кампании, направленной на взлом облачных сред организаций и кражу электронной почты.

По словам Microsoft, приложения, созданные мошенниками, затем использовались в фишинговой компании под названием «consent phishing» (фишинг согласия), в ходе которой злоумышленники обманным путем заставляли пользователей предоставлять разрешения мошенническим приложениям. Эта фишинговая кампания нацелена на группу пользователей в Великобритании и Ирландии.

Microsoft стало известно об этой кампании 15 декабря 2022 года. С тех пор компания уведомила пострадавших клиентов по электронной почте и отметила, что злоумышленникам в ходе кампании также удалось эксфильтровать электронные письма пользователей. Microsoft также внедрила дополнительные меры безопасности, чтобы улучшить процесс проверки, связанный с программой Microsoft Cloud Partner (ранее MPN), и свести к минимуму возможность мошенничества в будущем.

Согласно отчёту Proofpoint, эта кампания примечательна тем, что хакеры, имитируя популярные бренды, смогли обмануть Microsoft, чтобы получить синий значок подтверждения. Киберпреступники использовали поддельные аккаунты проверенных издателей (verified publisher), чтобы пройти проверку, проникнуть в облачные среды организаций и распространить мошеннические OAuth-приложения, которые они создали в Azure AD.

В этих атаках использовались похожие версии легитимных приложений, таких как Zoom, чтобы обманом заставить цели разрешить доступ и облегчить кражу данных. Жертвами стали финансисты, маркетологи, менеджеры и руководители высшего звена.

В Proofpoint отметили, что вредоносные OAuth-приложения получали разрешения на чтение электронной почты, настройку параметров почтового ящика и получение доступа к файлам и другим данным, связанным с учетной записью пользователя.

6m2kld6v0bu7btpcdqmx1pufkv7h25bh

Два рассматриваемых приложения были названы «Single Sign-on (SSO)», а третье приложение под названием «Meeting» имитировало известное ПО для видеоконференций. Все три приложения, созданные тремя разными издателями, нацелены на одни и те же компании и используют одну и ту же контролируемую злоумышленниками инфраструктуру.

Кампания завершилась 27 декабря 2022 года, после того как Proofpoint проинформировала Microsoft об атаке 20 декабря, и приложения были отключены. Эти кампании демонстрируют изощренность атаки, не говоря уже об обходе средств защиты Microsoft и злоупотреблении доверием пользователей к поставщикам услуг.

Темы:MicrosoftПреступленияфишингProofpointэлектронная почта
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Секреты опасных писем
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н.
    Электронная почта остается основной целью атак, а безопасность должна быть комплексной – об этом в преддверии нового года мы побеседовали с Юрием Ивановым, кандидатом технических наук, техническим директором компании “АВ Софт”, руководителем направления машинного обучения.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...