Сложный фишинговый набор типа «Злоумышленник-в-середине» (Adversary-in-The-Middle, AiTM) был идентифицирован как основной инструмент в кампании, предназначенной для захвата учетных записей Amazon Web Services (AWS). Эта техника представляет собой значительную эволюцию в краже учетных данных, выходящую за рамки простых поддельных страниц входа. В атаке AiTM злоумышленники позиционируют себя между жертвой и легитимным сервисом. Когда пользователь вводит свои учетные данные на фишинговой странице, набор мгновенно пересылает их на настоящий портал входа AWS, одновременно перехватывая коды многофакторной аутентификации (MFA) или cookies сессии. Это позволяет злоумышленникам полностью обойти защиту MFA, предоставляя им полный аутентифицированный доступ к корпоративным облачным средам. Скомпрометированные учетные записи затем часто используются для запуска дальнейших атак, майнинга криптовалюты или создания постоянного плацдарма для эксфильтрации данных. Эта кампания подчеркивает критическую необходимость для организаций выйти за рамки только MFA и внедрить устойчивые к фишингу методы аутентификации, такие как ключи безопасности FIDO2, а также реализовать строгий мониторинг аномальной активности в облачных платформах.
В отдельной, продолжительной операции исследователи кибербезопасности обнаружили годовую кампанию вредоносного ПО, специально нацеленную на департаменты по работе с персоналом (HR) в различных отраслях. Злоумышленники используют тщательно составленные фишинговые электронные письма, часто выдавая себя за соискателей вакансий, для доставки вредоносных нагрузок. Попав в систему HR-специалиста, вредоносное ПО — вариант похитителя информации, такой как Agent Tesla или Remcos RAT — начинает собирать конфиденциальные данные. Это включает личную информацию сотрудников (PII), данные о заработной плате, внутреннюю переписку и учетные данные системы. Продолжительность и специфичность целевого воздействия указывают на финансово мотивированную шпионскую операцию, направленную на сбор данных для кражи личных данных, корпоративного мошенничества или продажи на форумах даркнета. HR-департаменты являются высокоценной целью из-за их централизованного доступа к огромным объемам конфиденциальных кадровых и финансовых данных, что делает надежное обучение безопасности и продвинутую фильтрацию электронной почты обязательными для этих команд.
Совокупность этих двух угроз рисует тревожную картину текущего ландшафта угроз. Злоумышленники одновременно совершенствуют крупномасштабные автоматизированные методы для взлома основной облачной инфраструктуры, в то же время проводя терпеливые целевые кампании против уязвимых целей, богатых данными. Атаки AiTM на AWS используют зависимость от уязвимых для фишинга методов MFA, подчеркивая системную слабость в облачной безопасности многих организаций. С другой стороны, кампания, ориентированная на HR, демонстрирует, насколько социальная инженерия остается разрушительно эффективной в сочетании с готовым вредоносным ПО. Оба инцидента подтверждают принцип, что кибербезопасность — это многоуровневая защита. Технические средства контроля, такие как устойчивая к фишингу MFA и обнаружение на конечных точках, должны дополняться постоянным обучением осведомленности о безопасности, специфичным для ролей, особенно для отделов высокого риска, таких как HR, финансы и руководство.
Для защитников ответ должен быть столь же многогранным. Организациям следует немедленно провести аудит своих облачных сред, особенно учетных записей администраторов, на предмет признаков компрометации и обеспечить соблюдение строгих политик управления идентификацией и доступом (IAM). Внедрение политик условного доступа, которые оценивают риск входа на основе местоположения, устройства и поведения, может помочь снизить угрозу атак AiTM. Что касается угрозы для HR, командам безопасности следует проводить имитационные фишинговые тесты, адаптированные под сценарии HR, и обеспечивать наличие надежных правил предотвращения потери данных (DLP) для мониторинга несанкционированной передачи конфиденциальных данных сотрудников. В конечном счете, эти еженедельные обзоры значительных угроз — не просто новостные сводки, а практическая информация, предоставляющая командам безопасности дорожную карту для proactive укрепления своей защиты против развивающейся тактики современных киберпротивников.
