Хакеры атакуют госструктуры через OAuth
3 мин
19
В новой волне фишинговых атак используются механизмы перенаправления OAuth для обхода стандартных средств защиты в почтовых клиентах и браузерах. Об этом сообщила команда исследователей безопасности Microsoft Defender Security Research Team.
Атаки нацелены на правительственные организации и учреждения госсектора. Цель злоумышленников — перенаправить жертв на контролируемую ими инфраструктуру без кражи токенов доступа. Специалисты отметили, что атаки эксплуатируют штатное поведение OAuth, а не какие-то уязвимости в ПО или украденные учётные записи.
OAuth включает легитимную функцию перенаправления пользователей на определённую страницу при заданных условиях, например в сценариях обработки ошибок. Злоумышленники используют эту встроенную фичу, создавая ссылки с популярными провайдерами идентификации вроде Entra ID или Google Workspace. Они применяют изменённые параметры или связанные вредоносные приложения для перенаправления пользователей на контролируемые страницы.
Атака начинается с создания вредоносного приложения, в котором задаётся адрес перенаправления, указывающий на поддельный домен с вредоносным ПО. Затем атакующие распространяют фишинговую ссылку OAuth. От получателей требуется пройти аутентификацию во вредоносном приложении с использованием намеренно некорректной области доступа.
После перенаправления пользователи непреднамеренно загружают малварь и заражают собственные устройства. Вредоносная нагрузка распространяется в виде ZIP-архивов, которые содержат ярлык Windows, выполняющий команду PowerShell сразу после открытия. Код PowerShell используется для разведки хоста, файл ярлыка извлекает из архива установщик MSI, размещающий документ-приманку для отвлечения жертвы. Одновременно вредоносная библиотека с именем crashhandler.dll загружается методом подмены DLL с использованием легитимного файла steam_monitor.exe.
Библиотека расшифровывает файл crashlog.dat и исполняет финальную полезную нагрузку в памяти. Это позволяет установить исходящее соединение с внешним сервером управления и контроля.
Специалисты Microsoft отметили, что письма используют в качестве приманок запросы на электронную подпись, записи Teams, темы социального обеспечения, финансов и политики. Письма рассылаются через инструменты массовой рассылки и специализированные решения, разработанные на Python и Node.js. Ссылки либо встраиваются в тело письма, либо размещаются в PDF-документах.
Для повышения достоверности злоумышленники передают целевой адрес электронной почты через параметр state, используя различные техники кодирования. Это позволяет автоматически заполнять адрес на фишинговой странице. Параметр state предназначен для случайной генерации и сопоставления значений запроса и ответа, но в данных случаях он применяется для передачи закодированных адресов электронной почты.
Другие параметры перенаправляют пользователей на страницы, размещённые на фишинговых платформах типа EvilProxy. Они действуют как наборы инструментов для перехвата учётных данных и куки сеансов.
