USD 65.95 ЕВРО 75.15

Кибершпионы используют сложные фишинговые атаки против пользователей Outlook Web App

Экономика

Группа кибершпионов использует передовые методы целевого фишинга для кражи учетных данных для входа в электронную почту сотрудников военных учреждений, посольств, военных подрядчиков и международных средств массовой информации, которые используют Outlook Web App из Office 365.

Группа, стоящая за атакой, работает, по крайней мере с 2007 года, по мнению исследователей из компании Trend Micro. Они опубликовали результаты исследований об атаках, которые они назвали Operation Pawn Storm.

Злоумышленники использовали различные методы на протяжении многих лет, чтобы скомпрометировать свои цели, в том числе целевые фишинговые письма с вредоносными вложениями файлов Microsoft Office, которые устанавливают вредоносные программы типа бэкдор, под названием SEDNIT или Sofacy, или селективные эксплойты, встроенные во взломанные легитимные веб-сайты.

Группа использовала один особенно интересный метод в фишинговых атаках электронной почты против организаций, использующих приложение Outlook Web App (OWA), которое является частью сервиса Microsoft Office 365.

Для каждой фишинг-атаки, группа создала два фальшивых домена: первый — очень похожий на сторонний веб-сайт, известный жертвам, например, сообщающий о предстоящей отраслевой конференции, а другой — похожий на домен, используемый для развертывания Outlook Web App.

Затем, нападавшие создавали фишинг-письма со ссылкой на сторонний поддельный сайт, где они размещали вредоносный код JavaScript, цель которого была двоякой: открыть легитимный сайт в новой вкладке и перенаправить уже открытую вкладку браузера Outlook Web App на фишинговую страницу.

«JavaScript создавал видимость, что сеанс OWA жертвы закончен, и обманом заставлял их повторно ввести учетные данные», написали исследователи Trend Micro в своей статье. «Для этого, нападавшие перенаправляли жертв на поддельные страницы логинов OWA, заставляя их браузеры открывать окна определенным образом».

Эта техника не использует никаких уязвимостей и работает в любом популярном браузере, включая Internet Explorer, Mozilla Firefox, Google Chrome и Apple Safari, говорят исследователи. Тем не менее, два условия должны быть выполнены: жертвы должны использовать OWA, и они должны нажать на встроенные ссылки с панели предварительного просмотра OWA.

Эта атака достаточно сильная, потому что жертвы знают, что у них открыта легитимная сессия OWA во вкладке браузера, и могут не проверить, что перед запросом повторного ввода учетных данных изменился URL-адрес.

В дополнение к использованию доменных имен, которые очень похожи на те, что используются целевыми организациями для их реальных страниц-логинов в OWA, в некоторых случаях нападавшие даже приобрели законные сертификаты SSL, так что браузеры жертв отображали безопасные подключения HTTPS для фишинговых сайтов, говорят исследователи из Trend Micro.

Среди целей, против которых была использована эта техника, были: сотрудники американской частной военной компании Academi, ранее известной как Blackwater; Организация по Безопасности и Сотрудничеству в Европе (ОБСЕ); Государственный Департамент США; подрядчик правительства США SAIC; многонациональная компания, базирующаяся в Германии; Посольство Ватикана в Ираке; телекомпании в нескольких странах; министерства обороны Франции и Венгрии, военные должностные лица Пакистана; польские государственные служащие и военные атташе из разных стран.

В фишинговые приманки, используемые нападавшими, вошли известные события и конференции, которые могли заинтересовать жертв.

«Помимо эффективных тактик фишинга, злоумышленники использовали сочетание проверенных целевых атак для взлома систем, чтобы разместить в целевой сети эксплойты и зловредные программы для кражи данных», говорят исследователи из Trend Micro. «Варианты SEDNIT особенно пригодились, так как они позволили злоумышленникам украсть всю конфиденциальную информацию с компьютеров жертв, при этом эффективно избегая обнаружения».