- 20,503
- 46
- 8 Ноя 2022
Пароли, MFA и даже сессии теперь в руках у кого-то очень коварного.
Группы киберпреступников начали массово использовать новый сервис-фишинга VoidProxy и уже похищают учётные данные, коды многофакторной аутентификации и сеансовые токены в реальном времени из аккаунтов Microsoft и Google. Об атаках сообщает Okta Threat Intelligence : сервис работает по модели «phishing-as-a-service» , а его инфраструктуру одновременно задействуют разные банды и одиночные злоумышленники.
По наблюдениям Okta, цели разбросаны по отраслям и регионам — от малого бизнеса до крупных компаний. Подтверждены захваты аккаунтов в нескольких организациях, причём, учитывая, что VoidProxy напрямую проксирует не федеративных пользователей к серверам Microsoft и Google, сами облачные провайдеры, вероятно, видят ещё больше эпизодов компрометации. Кампания активна с января, а объявления VoidProxy на даркнет-площадках отслеживаются как минимум с августа 2024 года. Детектируются новые узлы почти ежедневно — атаки продолжаются.
Цепочка взлома начинается с рассылки приманок с реальных, но скомпрометированных почтовых аккаунтов. Для этого используются сервисы e-mail-маркетинга вроде Constant Contact, ActiveCampaign (приложение Postmark), NotifyVisitors и других. Письмо содержит ссылку через укоротитель (например, TinyURL); далее жертву гоняют по ряду редиректов до первой фишинговой страницы. Сайты размещают на дешёвых доменных зонах .icu, .sbs, .cfd, .xyz, .top, .home и прячут за Cloudflare, чтобы скрыть реальный IP и усложнить выпиливание. Перед логином пользователь проходит Cloudflare CAPTCHA, что отсеивает ботов и повышает «качество» трафика для нападающих.
Далее показывается страница, неотличимая от настоящих форм входа Google или Microsoft. Если организация использует сторонний SSO (например, через Okta), трафик корректно перенаправляется — жертва видит привычный путь аутентификации и вводит логин, пароль, а затем и код MFA. На этом этапе вступает в действие прокси-схема Attacker-in-the-Middle (AiTM): введённые данные идут не напрямую к провайдеру, а проходят через ядро VoidProxy — прокси-сервер на эфемерной (временной) инфраструктуре.
Прокси перехватывает и ретранслирует чувствительные данные (имя пользователя, пароль, ответы MFA) к легитимным сервисам Microsoft, Google и Okta. Те подтверждают подлинность и выдают сеансовую cookie. Копия cookie сохраняется на стороне злоумышленников и появляется в их админ-панели. Имея валидный сеансовый токен , преступник входит в учётную запись жертвы уже без пароля и без повторного MFA — до истечения сессии.
VoidProxy — это не только прокси, но и готовая «платформа под ключ». Покупатели сервиса получают административную панель для управления рассылками и лендингами, дашборды по каждой кампании с ежедневной статистикой украденных паролей и cookie, а также картами с пометками регионов и счётчиками жертв. Проект поддерживает перенаправление трафика и для SSO-сценариев, гибко подменяет целевые страницы и живёт на быстро меняемой инфраструктуре, что осложняет блокировку.
Защитники со стороны поставщиков облаков реагируют по-разному. В Google говорят о «долговечных» защитах против подмены доменов, фишинговых ссылок и взломанных отправителей и отдельно призывают переходить на passkeys. Microsoft комментариев не дала. Okta со своей стороны рекомендует включать устойчивые к фишингу факторы: Okta FastPass, а также FIDO2 WebAuthn (аппаратные ключи и passkeys), и жёстко применять политику, блокирующую слабые методы аутентификации.
Ещё один вектор сдерживания — стандарты взаимодействия. Авторы отчёта призывают индустрию поддерживать и продвигать Interoperability Profile for Secure Identity in the Enterprise (IPSIE). Последовательное следование таким профилям позволит, например, оперативно разлогинивать пользователя как на устройстве, так и во всех браузерных приложениях, если замечено обращение к известной вредоносной инфраструктуре.
Вывод здесь прямой: схемы AiTM-фишинга меняют расстановку сил — даже правильный пароль и включённый MFA не спасают, если сеансовая cookie утекает через прокси. Рабочий минимум защиты сегодня — отказ от одноразовых кодов в пользу ключей FIDO2/WebAuthn, строгие политики, фильтрация доменов-«помоек», блокировка редирект-цепочек и мониторинг аномалий входа. Атаки VoidProxy идут прямо сейчас и адаптируются ежедневно, так что «настроили однажды» уже не работает.
Группы киберпреступников начали массово использовать новый сервис-фишинга VoidProxy и уже похищают учётные данные, коды многофакторной аутентификации и сеансовые токены в реальном времени из аккаунтов Microsoft и Google. Об атаках сообщает Okta Threat Intelligence : сервис работает по модели «phishing-as-a-service» , а его инфраструктуру одновременно задействуют разные банды и одиночные злоумышленники.
По наблюдениям Okta, цели разбросаны по отраслям и регионам — от малого бизнеса до крупных компаний. Подтверждены захваты аккаунтов в нескольких организациях, причём, учитывая, что VoidProxy напрямую проксирует не федеративных пользователей к серверам Microsoft и Google, сами облачные провайдеры, вероятно, видят ещё больше эпизодов компрометации. Кампания активна с января, а объявления VoidProxy на даркнет-площадках отслеживаются как минимум с августа 2024 года. Детектируются новые узлы почти ежедневно — атаки продолжаются.
Цепочка взлома начинается с рассылки приманок с реальных, но скомпрометированных почтовых аккаунтов. Для этого используются сервисы e-mail-маркетинга вроде Constant Contact, ActiveCampaign (приложение Postmark), NotifyVisitors и других. Письмо содержит ссылку через укоротитель (например, TinyURL); далее жертву гоняют по ряду редиректов до первой фишинговой страницы. Сайты размещают на дешёвых доменных зонах .icu, .sbs, .cfd, .xyz, .top, .home и прячут за Cloudflare, чтобы скрыть реальный IP и усложнить выпиливание. Перед логином пользователь проходит Cloudflare CAPTCHA, что отсеивает ботов и повышает «качество» трафика для нападающих.
Далее показывается страница, неотличимая от настоящих форм входа Google или Microsoft. Если организация использует сторонний SSO (например, через Okta), трафик корректно перенаправляется — жертва видит привычный путь аутентификации и вводит логин, пароль, а затем и код MFA. На этом этапе вступает в действие прокси-схема Attacker-in-the-Middle (AiTM): введённые данные идут не напрямую к провайдеру, а проходят через ядро VoidProxy — прокси-сервер на эфемерной (временной) инфраструктуре.
Прокси перехватывает и ретранслирует чувствительные данные (имя пользователя, пароль, ответы MFA) к легитимным сервисам Microsoft, Google и Okta. Те подтверждают подлинность и выдают сеансовую cookie. Копия cookie сохраняется на стороне злоумышленников и появляется в их админ-панели. Имея валидный сеансовый токен , преступник входит в учётную запись жертвы уже без пароля и без повторного MFA — до истечения сессии.
VoidProxy — это не только прокси, но и готовая «платформа под ключ». Покупатели сервиса получают административную панель для управления рассылками и лендингами, дашборды по каждой кампании с ежедневной статистикой украденных паролей и cookie, а также картами с пометками регионов и счётчиками жертв. Проект поддерживает перенаправление трафика и для SSO-сценариев, гибко подменяет целевые страницы и живёт на быстро меняемой инфраструктуре, что осложняет блокировку.
Защитники со стороны поставщиков облаков реагируют по-разному. В Google говорят о «долговечных» защитах против подмены доменов, фишинговых ссылок и взломанных отправителей и отдельно призывают переходить на passkeys. Microsoft комментариев не дала. Okta со своей стороны рекомендует включать устойчивые к фишингу факторы: Okta FastPass, а также FIDO2 WebAuthn (аппаратные ключи и passkeys), и жёстко применять политику, блокирующую слабые методы аутентификации.
Ещё один вектор сдерживания — стандарты взаимодействия. Авторы отчёта призывают индустрию поддерживать и продвигать Interoperability Profile for Secure Identity in the Enterprise (IPSIE). Последовательное следование таким профилям позволит, например, оперативно разлогинивать пользователя как на устройстве, так и во всех браузерных приложениях, если замечено обращение к известной вредоносной инфраструктуре.
Вывод здесь прямой: схемы AiTM-фишинга меняют расстановку сил — даже правильный пароль и включённый MFA не спасают, если сеансовая cookie утекает через прокси. Рабочий минимум защиты сегодня — отказ от одноразовых кодов в пользу ключей FIDO2/WebAuthn, строгие политики, фильтрация доменов-«помоек», блокировка редирект-цепочек и мониторинг аномалий входа. Атаки VoidProxy идут прямо сейчас и адаптируются ежедневно, так что «настроили однажды» уже не работает.
- Источник новости
- www.securitylab.ru
