- 19,455
- 40
- 8 Ноя 2022
Атака затронула десятки компаний и обошла защиту Microsoft.
Исследователи из Varonis Threat Labs Для просмотра ссылки Войдиили Зарегистрируйся новую фишинговую кампанию, в которой злоумышленники используют малозаметную функцию Microsoft 365 под названием Direct Send. Эта функция изначально предназначена для отправки писем с внутренних устройств, таких как принтеры, без необходимости аутентификации. Однако в рамках атаки она применялась для подмены внутренних адресов и рассылки фишинговых сообщений, не требующих взлома учётных записей.
По данным Varonis, кампания стартовала в мае 2025 года и уже затронула более 70 организаций, в основном в США. Атаки были направлены на отдельные компании, при этом письма не вызывали подозрений, так как воспринимались как внутренний трафик. Все случаи объединяла общая схема: одинаковые темы писем, совпадающие IP-адреса отправителей и другие технические признаки. Подобные тенденции в атаках на Для просмотра ссылки Войдиили Зарегистрируйся уже неоднократно отмечались специалистами по информационной безопасности.
Суть проблемы в том, что Direct Send позволяет отправлять письма через внутренний почтовый шлюз Microsoft без паролей и токенов. Для этого злоумышленнику достаточно знать доменное имя и один внутренний адрес компании. Всё остальное можно подобрать автоматически или найти в открытых источниках.
В конкретных инцидентах, зафиксированных командой Varonis, отправка сообщений происходила с помощью PowerShell. Письма выглядели как уведомления о голосовых сообщениях или факсах, содержали PDF-файл с QR-кодом и вели на сайты для кражи учётных данных Microsoft 365. Использование Для просмотра ссылки Войдиили Зарегистрируйся становится всё более распространённой тактикой злоумышленников. Несмотря на отсутствие цифровых подписей и провалы SPF и DMARC-проверок, письма успешно проходили через инфраструктуру Microsoft и попадали в почтовые ящики сотрудников.
В некоторых случаях срабатывали системы безопасности, когда письма приходили с IP-адресов из необычных геолокаций, например из Украины, однако настороженность вызывал не вход в систему, а сама активность по отправке писем. Анализ заголовков подтверждал, что почта пришла извне, но использовала внутреннюю маршрутизацию, благодаря чему успешно обходила фильтры.
Для защиты от подобных атак специалисты рекомендуют включить функцию блокировки Direct Send, настроить жёсткую политику DMARC, отслеживать письма без аутентификации, использовать политики антиспуфинга и информировать сотрудников о рисках, связанных с вредоносными вложениями, особенно в формате QR-кодов. Важность правильной настройки Для просмотра ссылки Войдиили Зарегистрируйся для защиты от подмены отправителей невозможно переоценить. Также важно применять многофакторную аутентификацию и ограничивать допустимые IP-адреса в SPF-записях.
Varonis подчёркивает, что даже внутренние письма могут быть опасны, если оставить подобные лазейки без контроля. В их арсенале есть инструменты и команды, способные обнаружить и остановить такие угрозы в реальном времени.
Исследователи из Varonis Threat Labs Для просмотра ссылки Войди
По данным Varonis, кампания стартовала в мае 2025 года и уже затронула более 70 организаций, в основном в США. Атаки были направлены на отдельные компании, при этом письма не вызывали подозрений, так как воспринимались как внутренний трафик. Все случаи объединяла общая схема: одинаковые темы писем, совпадающие IP-адреса отправителей и другие технические признаки. Подобные тенденции в атаках на Для просмотра ссылки Войди
Суть проблемы в том, что Direct Send позволяет отправлять письма через внутренний почтовый шлюз Microsoft без паролей и токенов. Для этого злоумышленнику достаточно знать доменное имя и один внутренний адрес компании. Всё остальное можно подобрать автоматически или найти в открытых источниках.
В конкретных инцидентах, зафиксированных командой Varonis, отправка сообщений происходила с помощью PowerShell. Письма выглядели как уведомления о голосовых сообщениях или факсах, содержали PDF-файл с QR-кодом и вели на сайты для кражи учётных данных Microsoft 365. Использование Для просмотра ссылки Войди
В некоторых случаях срабатывали системы безопасности, когда письма приходили с IP-адресов из необычных геолокаций, например из Украины, однако настороженность вызывал не вход в систему, а сама активность по отправке писем. Анализ заголовков подтверждал, что почта пришла извне, но использовала внутреннюю маршрутизацию, благодаря чему успешно обходила фильтры.
Для защиты от подобных атак специалисты рекомендуют включить функцию блокировки Direct Send, настроить жёсткую политику DMARC, отслеживать письма без аутентификации, использовать политики антиспуфинга и информировать сотрудников о рисках, связанных с вредоносными вложениями, особенно в формате QR-кодов. Важность правильной настройки Для просмотра ссылки Войди
Varonis подчёркивает, что даже внутренние письма могут быть опасны, если оставить подобные лазейки без контроля. В их арсенале есть инструменты и команды, способные обнаружить и остановить такие угрозы в реальном времени.
- Источник новости
- www.securitylab.ru
