- 19,963
- 44
- 8 Ноя 2022
Чрезмерное доверие обернулось ловушкой. Традиционные методы обнаружения бессильны.
Киберпреступники нашли способ использовать защитные механизмы Cisco против самих пользователей. Исследователи Raven зафиксировали кампанию по краже учётных данных, в которой злоумышленники научились эксплуатировать технологию Cisco Safe Links. Этот инструмент встраивается в систему фильтрации почтового трафика и подменяет подозрительные ссылки, перенаправляя их через собственную инфраструктуру Cisco для анализа.
Идея атаки заключается в том, что пользователь или система безопасности по умолчанию доверяют домену «secure-web.cisco.com», считая его безопасным. Именно это доверие и превратилось в оружие: атакующие начали прикрываться ссылками с этим префиксом, чтобы обманывать фильтры и людей.
Эксперты Raven зафиксировали несколько техник злоумышленников по созданию легитимных Safe Links, пригодных для атак. Чаще всего они захватывают учётные записи внутри компаний, защищённых Cisco, и рассылают вредоносные письма сами себе, после чего используют сгенерированные ссылки в целевых кампаниях. Также встречается использование сторонних сервисов, отправляющих письма через инфраструктуру Cisco, и даже повторное применение ранее созданных работающих Safe Links.
Один из последних примеров представлял собой письмо с запросом на просмотр документа, замаскированное под сервис электронных подписей. Оно выглядело максимально профессионально, с фирменным стилем и деловой лексикой. При этом классические почтовые фильтры не сработали, так как видели перед собой адрес в домене Cisco. Только подробный анализ, учитывающий не только технические признаки, но и контекст деловой переписки, смог выявить несоответствия: подозрительные параметры в URL и аномалии в бизнес-процессах.
Опасность в том, что такие атаки выглядят безупречно с технической точки зрения. Всё зло скрыто в поведении и контексте, а не в привычных индикаторах вроде поддельных доменов. Большинство систем защиты сосредоточено именно на репутации адресов, поэтому домены Cisco пропускаются автоматически. Это говорит о качественном сдвиге в методах киберпреступников: они всё чаще эксплуатируют не уязвимости в коде, а доверие к известным брендам и привычным процессам.
Результаты исследования подчёркивают, что традиционные подходы — сигнатуры и репутационные базы — оказываются бессильны против атак, маскирующихся под законные бизнес-операции. Всё большее значение приобретает использование контекстно-ориентированных систем на базе искусственного интеллекта, способных распознавать поведенческие аномалии и проверять уместность писем в рамках деловой логики. Без подобных решений компании рискуют пропускать кампании, которые внешне выглядят совершенно легитимно, но в реальности ведут к краже учётных данных.
Киберпреступники нашли способ использовать защитные механизмы Cisco против самих пользователей. Исследователи Raven зафиксировали кампанию по краже учётных данных, в которой злоумышленники научились эксплуатировать технологию Cisco Safe Links. Этот инструмент встраивается в систему фильтрации почтового трафика и подменяет подозрительные ссылки, перенаправляя их через собственную инфраструктуру Cisco для анализа.
Идея атаки заключается в том, что пользователь или система безопасности по умолчанию доверяют домену «secure-web.cisco.com», считая его безопасным. Именно это доверие и превратилось в оружие: атакующие начали прикрываться ссылками с этим префиксом, чтобы обманывать фильтры и людей.
Эксперты Raven зафиксировали несколько техник злоумышленников по созданию легитимных Safe Links, пригодных для атак. Чаще всего они захватывают учётные записи внутри компаний, защищённых Cisco, и рассылают вредоносные письма сами себе, после чего используют сгенерированные ссылки в целевых кампаниях. Также встречается использование сторонних сервисов, отправляющих письма через инфраструктуру Cisco, и даже повторное применение ранее созданных работающих Safe Links.
Один из последних примеров представлял собой письмо с запросом на просмотр документа, замаскированное под сервис электронных подписей. Оно выглядело максимально профессионально, с фирменным стилем и деловой лексикой. При этом классические почтовые фильтры не сработали, так как видели перед собой адрес в домене Cisco. Только подробный анализ, учитывающий не только технические признаки, но и контекст деловой переписки, смог выявить несоответствия: подозрительные параметры в URL и аномалии в бизнес-процессах.
Опасность в том, что такие атаки выглядят безупречно с технической точки зрения. Всё зло скрыто в поведении и контексте, а не в привычных индикаторах вроде поддельных доменов. Большинство систем защиты сосредоточено именно на репутации адресов, поэтому домены Cisco пропускаются автоматически. Это говорит о качественном сдвиге в методах киберпреступников: они всё чаще эксплуатируют не уязвимости в коде, а доверие к известным брендам и привычным процессам.
Результаты исследования подчёркивают, что традиционные подходы — сигнатуры и репутационные базы — оказываются бессильны против атак, маскирующихся под законные бизнес-операции. Всё большее значение приобретает использование контекстно-ориентированных систем на базе искусственного интеллекта, способных распознавать поведенческие аномалии и проверять уместность писем в рамках деловой логики. Без подобных решений компании рискуют пропускать кампании, которые внешне выглядят совершенно легитимно, но в реальности ведут к краже учётных данных.
- Источник новости
- www.securitylab.ru
