Больше материалов: Boosty

конфиденциальные данные или операции внутри

компании, часто становятся мишенью из-за ценной
информации, которую они могут предоставить
• Конкретные сотрудники компании: фишинговые
кампании могут быть нацелены на конкретных
сотрудников компании, особенно на тех, кто имеет
доступ к ценным данным или системам
• Конкретные организации: Сами организации
могут быть объектами кампаний фишинга, особенно
в таких секторах, как правительство, оборона,
научные круги и неправительственные организации
• Пользователи социальных сетей:
Злоумышленники часто используют социальные
сети и другие общедоступные источники для сбора
информации о потенциальных целях
В последние годы было зафиксировано множество
фишинговых атак, некоторые из которых включают:
• Поддельные веб-сайты: злоумышленники создают
поддельные веб-сайты, имитирующие законные,
чтобы обманом заставить людей вводить свою
личную информацию
I. ВВЕДЕНИЕ • Whaling-мошенничество: это включает в себя
выдачу себя за руководителя высокого уровня и
Star Blizzard, также известная как Callisto Group, отправку электронных писем сотрудникам, часто в
SEABORGIUM, BlueCharlie, TA446, COLDRIVER и TAG- финансовый отдел, для авторизации банковских
53 известна атаками на правительственные организации, переводов на мошеннические счета
оборонную промышленность, научные круги,
аналитические центры, НПО, политиков и других лиц в • Вредоносное ПО: Электронные письма с
США, Великобритании, других странах НАТО и странах, вредоносными вложениями или ссылками, которые
соседних с Россией. при открытии устанавливают вредоносное ПО на
устройство жертвы
Фишинговые кампании Star Blizzard обычно включают
отправку поддельных электронных писем, которые, как • Фишинг и вишинг: это формы скрытого фишинга
с помощью SMS (smishing) или голосовых вызовов
представляется, исходят от легитимных частных лиц или
(vishing), когда злоумышленники выдают себя за
организаций. Эти электронные письма предназначены для законные организации для извлечения личных
того, чтобы обманом вынудить жертв предоставить данных или финансовой информации
учётные данные своей учётной записи электронной почты,
которые затем используются для получения В фишинговых кампаниях используются различные
несанкционированного (и постоянного) доступа к учётным тактики для повышения их успешности:
записям электронной почты жертв. Известно, что после
• Выбор цели: злоумышленники выбирают
получения доступа Star Blizzard устанавливает правила отдельных лиц или организации, обладающие
пересылки почты, предоставляя им постоянный доступ к потенциальным доступом к ценным данным или
переписке и спискам контактов жертвы и используя эту финансовой выгоде
информацию для последующего таргетинга и фишинговых
действий. • Разведка: проводится обширное исследование
объекта с целью сбора личной информации,
II. РАСПРОСТРАНЕННЫЕ ЦЕЛИ ФИШИНГОВЫХ АТАК должностных ролей и интересов
Фишинговые кампании обычно нацелены на • Персонализация: Электронные письма создаются с
конкретных лиц или организации с целью кражи использованием конкретной информации о цели,
конфиденциальной информации, такой как учётные данные чтобы казаться заслуживающими доверия и
для входа в систему, или заражения вредоносным ПО: релевантными
• Высокопоставленные должностные лица в • Срочность и давление: Сообщения часто передают
организациях: Эти лица часто имеют доступ к ощущение срочности или давления, побуждающее к
конфиденциальной информации, что делает их немедленным действиям со стороны цели
привлекательными объектами для кампаний
фишинга • Общие интересы: злоумышленники могут
использовать известные интересы цели для
• Лица, участвующие в конфиденциальных создания убедительного предлога для отправки
операциях: Люди, которые обрабатывают электронного письма
 Больше материалов: Boosty
• Известные или авторитетные личности: выдавать который может самоподдерживаться и расширять
себя за кого-либо, занимающего руководящую масштабы их кампаний
должность, или известного контактного лица, чтобы
вызвать доверие A. Распространенные темы в электронных письмах Star
Blizzard о фишинге
III. ЦЕЛИ КАМПАНИЙ STAR BLIZZARD Фишинговые электронные письма Star Blizzard часто
С 2019 года Star Blizzard нацелена на различные сектора касаются тем, представляющих интерес для целевой
и отдельных лиц, в том числе: аудитории, которые они выявляют в ходе обширных
исследований с использованием ресурсов с открытым
• Академические круги: Образовательные исходным кодом, включая социальные сети и
учреждения и частные лица, связанные с профессиональные сетевые платформы. Они могут
исследованиями или обладающие ценной выдавать себя за известные контакты своих целей или
интеллектуальной собственностью уважаемых экспертов в области, а также создавать учётные
• Оборонный сектор: Организации оборонного записи электронной почты и поддельные профили в
сектора, включая подрядчиков и поставщиков для социальных сетях для привлечения своих целей.
вооружённых сил и оборонной промышленности
B. Распространенные вложения или ссылки, включенные
• Правительственные организации: Различные в фишинговые электронные письма Star Blizzard
правительственные учреждения и департаменты, Фишинговые электронные письма часто содержат
которые имеют доступ к конфиденциальной вредоносные ссылки или вложения. Они предназначены
информации о национальной безопасности
для того, чтобы обманом вынудить жертву предоставить
• Неправительственные организации: Эти учётные данные своей учётной записи электронной почты,
организации могут стать мишенью за их участие в которые затем группа использует для получения
чувствительной политической, социальной или несанкционированного постоянного доступа к учётным
гуманитарной деятельности записям электронной почты жертв. Они также создают
вредоносные домены, которые выглядят как домены
• Аналитические центры: Организации, которые
проводят исследования и пропаганду по таким существующих и легитимных организаций.
темам, как социальная политика, политическая C. Общие индикаторы компрометации (IoC), связанные с
стратегия, экономика, военное дело, технологии и фишинговыми кампаниями Star Blizzard
культура
Распространённые IoC (без перечисления конкретного
• Известные личности: Политики и другие лица, списка), связанные с кампаниями Star Blizzard, покрывают
которые могут иметь доступ к конфиденциальной активности:
информации или влиять на важные решения
• Несанкционированный доступ к личным и
Конкретные (технические) цели фишинговых кампаний корпоративным учётным записям электронной
Star Blizzard: почты
• Личные адреса электронной почты: В основном • Настройка правил пересылки почты, которые
они отправляли фишинговые электронные письма обеспечивают им постоянный доступ к переписке
на личные адреса электронной почты целей, жертвы и спискам контактов
которые могут иметь менее строгий контроль
безопасности, чем адреса корпоративной • Доступ к данным списка рассылки и списку
электронной почты. контактов жертвы, которые они затем используют
• Корпоративные или деловые адреса электронной для последующего таргетинга
почты: они также использовали корпоративные или • Использование скомпрометированных учётных
деловые адреса электронной почты целей, что записей электронной почты для дальнейшей
указывает на комплексный подход к нацеливанию фишинговой деятельности
как на личные, так и на профессиональные аспекты
жизни своих жертв • Использование фреймворка с открытым исходным
• Данные и контакты списка рассылки: Получив кодом Evilginx в своих фишинговых кампаниях,
доступ к учётной записи электронной почты который позволяет им собирать учётные данные и
жертвы, они получают доступ к данным списка сеансовые файлы cookie, чтобы обойти
рассылки и списку контактов жертвы, которые использование двухфакторной аутентификации
затем используют для последующего таргетинга и D. Распространенные типы файлов, включенные в
дальнейшей фишинговой деятельности
фишинговые электронные письма Star Blizzard
• Скомпрометированные учётные записи Star Blizzard часто включает вредоносные вложения в
электронной почты: они используются для свои фишинговые электронные письма. Часто
дополнительной фишинговой активности, что используются такие типы файлов, как PDF-файлы,
указывает на цикл компрометации и эксплуатации, документы Word, электронные таблицы Excel или другие
 Больше материалов: Boosty
типы файлов, которые могут содержать встроенные социальных сетей и профессиональных сетевых
скрипты или макросы платформ, чтобы определить темы,
представляющие интерес для привлечения их
E. Распространенные домены или URL-адреса, целевой аудитории
используемые в фишинговых кампаниях Star Blizzard
• Имперсонизация: создаются учётные записи
Известно, что Star Blizzard использует URL-адреса, электронной почты и поддельные профили в
имитирующие законные сервисы обмена файлами. социальных сетях, выдавая себя за известных
Некоторые из распространённых URL-адресов выглядят контактов или уважаемых экспертов
следующим образом:
• Установление взаимопонимания: используя
• https://drive.google.com/file/d/XXXXXXXXXXXXX собранную информацию, устанавливаются
X/view?usp=sharing взаимопонимание с целью сделать свои попытки
• https://onedrive.live.com/?authkey=%XXXXXXXXX фишинга более убедительными
XXXXXXXXXXXXXXXXX%XXXX&cid=8XXXX • Доставка по электронной почте: Электронные
XXXXX9B7 письма создаются таким образом, чтобы казаться
• https://www.dropbox.com/s/XXXXXXXXXXXXX/St законными и соответствовать интересам или
ar_Blizzard_Report.pdf?dl=0 обязанностям цели, часто содержат вредоносные
ссылки или вложения
Эти URL-адреса выглядят обычным образом, но на
самом деле они предназначены для того, чтобы обманом • PDF-приманки: отправляемый PDF-файл, обычно
нечитаем, с заметной кнопкой, предназначенной для
заставить жертв ввести свои учётные данные или загрузить
включения чтения содержимого. Нажатие кнопки
вредоносные файлы. приводит к тому, что браузер по умолчанию
IV. ПРИМЕНЯЕМЫЕ МЕТОДЫ КАМПАНИЙ STAR BLIZZARD открывает ссылку, встроенную в PDF-файл, что
приводит к краже учётных данных
A. Конкретные методы, используемые Star Blizzard в
своих фишинговых кампаниях V. НОВЫЕ ТАКТИКИ, ТЕХНИКИ И ПРОЦЕДУРЫ (TTP) И
МЕТОДЫ ПРЕДОТВРАЩЕНИЯ ОБНАРУЖЕНИЯ
Star Blizzard использует различные методы в своих
фишинговых кампаниях в т.ч. для предотвращения С 2022 года Star Blizzard заметно улучшила свою
обнаружения: способность избегать обнаружения, сосредоточившись на
улучшении своих возможностей. Известно пять новых
• Целевые электронные письма: отправляются методов:
фишинговые электронные письма на личные адреса
электронной почты целей, хотя они также • Использование платформ электронного
использовали адреса корпоративной или деловой маркетинга: используются сервисы электронного
электронной почты целей маркетинга, такие как Mailerlite и HubSpot, для
таргетирования фишинговых кампаний
• Имперсонизация: создаются учётные записи
электронной почты, выдавая себя за известные • Защищённые паролем документы-приманки в
контакты своих целей. Они также создают формате PDF: чтобы обойти фильтры электронной
поддельные профили в социальных сетях, которые почты используются защищённые паролем
выдают себя за уважаемых экспертов документы-приманки в формате PDF
• Вредоносные домены: создаются вредоносные • Использование скомпрометированных учётных
домены, напоминающие законные организации записей электронной почты жертвы:
используются скомпрометированные учётные
• Evilginx: используется фреймворк с открытым записи электронной почты жертвы для проведения
исходным кодом Evilginx в своих фишинговых фишинговой активности против контактов
кампаниях, который позволяет им собирать учётные первоначальной жертвы
данные и сеансовые файлы cookie, чтобы обойти
использование двухфакторной аутентификации • Вредоносные ссылки во вложениях электронной
почты: используются вредоносные ссылки,
• Переадресация почты: компрометации учётных встроенные во вложения электронной почты, чтобы
данных цели устанавливаются правила направлять жертв на свои сайты, похищающие
переадресации почты, чтобы обеспечить учётные данные
постоянную видимость переписки жертвы и
списков контактов • Использование скомпрометированных учётных
данных: используются скомпрометированные
B. Распространенные методы социальной инженерии, учётные данные, полученные с поддельных страниц
используемые Star Blizzard входа, для входа в систему от имени пользователей-
Методы социальной инженерии Star Blizzard включают: жертв
• Исследования и подготовка: проводятся
обширные исследования с использованием
 Больше материалов: Boosty
A. Backend-скрипты включать результаты предыдущих проверок или
Серверные скрипты – это скрипты, которые другую информацию о среде клиента. Эта
информация может быть использована для
выполняются на сервере, в отличие от клиентских скриптов,
адаптации атаки к конкретному пользователю,
которые выполняются в браузере пользователя. Используя повышая шансы на успех.
серверные скрипты, можно контролировать, какая
информация отправляется клиенту, а какая хранится на B. Услуги платформы для маркетинга по
сервере, что затрудняет обнаружение вредоносной электроннойпочте
активности средствами автоматического сканирования. Star Blizzard начала использовать сервисы электронного
Cерверные скрипты разработаны для предотвращения маркетинга, такие как Mailerlite и HubSpot, для управления
автоматического сканирования своих серверов, своими фишинговыми кампаниями. Эти платформы
контролируемых участниками. позволяют создавать кампании электронной почты с
выделенным под-домен в сервисе, который затем
Эта тактика, наряду с другими, такими как используется для создания URL-адресов. Эти URL-адреса
использование платформ электронного маркетинга, служат точкой входа в цепочку перенаправлений,
защищённых паролем PDF-документов-приманок и заканчивающуюся на серверах, контролируемых
использование скомпрометированных учётных записей участниками.
электронной почты жертв, позволяет эффективно
выполнять фишинговые кампании с повышенной Использование этих сервисов даёт ряд преимуществ.
скрытностью. Во-первых, электронные письма, отправленные через эти
платформы, с меньшей вероятностью будут помечены
Ниже приведены примеры функций в составе этих фильтрами электронной почты как спам или вредоносное
серверных скриптов: ПО, поскольку они поступают от известных сервисов. Во-
• Сбор и отправка пользовательских данных: В вторых, эти платформы часто предоставляют возможности
апреле 2023 года было замечено, что Star Blizzard отслеживания успешности проведения маркетинговых
отказывается от использования серверов hCaptcha в кампаний, что, в свою очередь, позволяет оценить
качестве единственного первоначального успешность кибер-кампании.
перенаправления. Вместо этого они начали Большинство электронных кампаний Star Blizzard на
выполнять код JavaScript под названием "'Collect and
HubSpot были нацелены на несколько академических
Send User Data" перед перенаправлением
пользователя институтов, аналитических центров и других
исследовательских организаций, использующих общую
• Доработка кода JavaScript: В мае 2023 года тему, с целью получения их учётных данных для портала
исполнитель угрозы доработал код JavaScript, в управления грантами США.
результате чего появилась обновлённая версия под
названием "Docs", которая все ещё используется C. DNS-провайдер
сегодня Star Blizzard использует поставщика услуг доменных
• Оценка пользовательского окружения: имён (DNS) для решения инфраструктурных проблем при
Серверный JavaScript-код используется для оценки реализации и управления атаками. Использование DNS-
пользовательского окружения позволяет провайдера даёт несколько преимуществ. Во-первых, это
таргетировать атаку в отношении конкретного позволяет им быстро и легко создавать новые домены для
пользователя своих атак. Во-вторых, повышается сложность
блокирования или удаления таких доменов, поскольку они
Функции pluginsEmpty(), isAutomationTool() и управляются сторонним сервисом.
sendToBackend(data) являются примерами методов,
используемых в этих сценариях. D. Рандомизирующее DGA для доменов,
зарегистрированных актерами
• pluginsEmpty(): эта функция проверяет, является ли
свойство plugins объекта navigator пустым. Star Blizzard использует алгоритмы генерации доменов
Инструменты автоматического сканирования часто (DGA) для рандомизации доменных имён для своей
не эмулируют плагины, поэтому эта функция может инфраструктуры. DGA – это алгоритмы, которые
помочь Star Blizzard идентифицировать и генерируют большое количество доменных имён, которые
игнорировать такие инструменты. могут использоваться в т.ч. в качестве C&C-серверов.
• isAutomationTool(): Эта функция проверяет Использование DGA затрудняет для служб
наличие признаков того, что клиент является безопасности и автоматизированных систем
автоматизированным инструментом, а не прогнозирование и блокировку вредоносных доменов,
пользователем-человеком. Это может включать поскольку домены часто меняются и могут казаться
проверку конкретных строк пользовательского случайными. Этот метод помогает избежать обнаружения с
агента, наличия определённых свойств JavaScript помощью списков блокировки, фильтров сигнатур, систем
или скорости взаимодействия. репутации и других средств контроля безопасности.
• sendToBackend(data): эта функция отправляет
собранные данные обратно на сервер. Данные могут
 Больше материалов: Boosty
Используя DGA, возможно систематически A. Действия, предпринятые Microsoft в ответ на
переключаться между доменами во время своих атак, кибератаку Blizzard и Инициатива "Безопасное
затрудняя отслеживание и удаление этих доменов. будущее" (SFI)
E. Защищенные паролем PDF-файлы являются В ответ на кибератаку Blizzard корпорация Майкрософт
приманками или ссылками на облачные платформы предприняла немедленные действия по расследованию,
обмена файлами пресечению вредоносной активности, смягчению
последствий атаки и отказу субъекту угрозы в дальнейшем
Star Blizzard использовала защищённые паролем доступе. Они начали уведомлять сотрудников, чьи учётные
документы-приманки в формате PDF или ссылки на записи электронной почты были скомпрометированы во
облачные файлообменные платформы в рамках своих время атаки.
фишинговых кампаний. Эта тактика служит нескольким
целям: Корпорация Майкрософт заверила, что атака не была
вызвана какой-либо конкретной уязвимостью в продуктах
• Защищённые паролем PDF-файлы-приманки: или службах Microsoft, и нет никаких доказательств того,
использование защищённых паролем PDF-файлов
позволяет обойти некоторые системы что субъект угрозы имел какой-либо доступ к клиентской
автоматического сканирования электронной почты, среде, производственным системам, исходному коду или
которые не могут анализировать содержимое системам искусственного интеллекта.
зашифрованных документов. Пароли для этих Microsoft объявила, что они будут применять свои
документов обычно предоставляются в том же текущие стандарты безопасности к устаревшим системам,
фишинговом электронном письме или в принадлежащим Microsoft, даже если эти изменения могут
последующем электронном письме. привести к сбоям в существующих бизнес-процессах. Они
• Ссылки на облачные платформы обмена также планируют внести существенные изменения в свои
файлами: Эти ссылки ведут на облачные методы обеспечения внутренней безопасности.
платформы, где хранятся защищённые PDF-файлы.
Использование известных служб обмена файлами Ответ Microsoft подчёркивает её приверженность
может придать видимость достоверности попытке устранению угрозы, исходящей от национальных
фишинга, а также может ускользнуть от обнаружения субъектов, таких как Blizzard, и её приверженность
системами безопасности, которые доверяют ответственной прозрачности, что недавно подтверждено в
контенту, размещённому на этих платформах. их инициативе "Безопасное будущее" (SFI).
PDF-файлы часто содержат призыв к действию, такой Инициатива безопасного будущего (SFI) – это
как кнопка или ссылка, при нажатии на которые программа, представленная Microsoft в ноябре 2023 года.
пользователь перенаправляется на вредоносный сайт, SFI базируется на ключевых аспектах:
предназначенный для кражи учётных данных или другой • Разработка киберзащиты на основе искусственного
конфиденциальной информации. Этот метод эффективен, интеллекта.
поскольку он использует доверие пользователя к знакомым
службам обмена файлами и ожидание получения законных • Достижения в области фундаментальной разработки
документов. программного обеспечения.

VI. ВОЗДЕЙСТВИЕ АТАК VII. ЗАЩИТА (РЕКОМЕНДАЦИИ MICROSOFT)

Атака на Microsoft была обнаружена 12 января 2024 года A. Руководство по защите
и началась в конце ноября 2023 года. В рамках общей атаки В ответ на кибератаку Blizzard корпорация Майкрософт
использовалась «password spray»-атака, чтобы представила рекомендации по защите от подобных атак со
скомпрометировать устаревшую непроизводственную стороны национальных государств. Это руководство
тестовую учётную запись клиента с последующим включает разрешение проблемы с использованием
закреплением в системе. Затем использовались разрешения следующих аспектов:
учётной записи для доступа к учётным записям
корпоративной электронной почты Microsoft, включая • Многофакторная аутентификация (MFA):
членов команды высшего руководства и сотрудников, Корпорация Майкрософт подчеркнула важность
занимающихся кибербезопасностью, юридическими и включения MFA, поскольку в тестовой учётной
другими функциями. записи клиента, скомпрометированной в результате
атаки, не была включена функция MFA.
Исследование электронных писем и их вложений
показывает, что изначально они были нацелены на учётные • Мониторинг приложений OAuth: Субъекты угроз,
записи электронной почты для получения информации, такие как Blizzard, часто используют приложения
связанной с самой Blizzard. Атака не была результатом OAuth для сокрытия своих действий. Корпорация
Майкрософт рекомендует отслеживать
уязвимости в продуктах или службах Microsoft, и нет подозрительные приложения OAuth и отзывать все,
никаких доказательств того, что субъект угрозы имел которые не распознаны или не нужны.
какой-либо доступ к клиентской среде, производственным
системам, исходному коду или системам искусственного • Осведомлённость об атаках социальной
интеллекта по информации от Microsoft. инженерии: Microsoft Threat Intelligence выявила
 Больше материалов: Boosty
целенаправленные атаки социальной инженерии с доступ только к определённым требуемым
использованием фишинговых приманок для кражи почтовым ящикам.
учётных данных, отправленных в виде чатов
Microsoft Teams компанией Blizzard. Защита от атак «password spray»
Осведомлённость и обучение могут помочь • Устранение небезопасных паролей
пользователям распознавать эти атаки и избегать их.
• Обучение пользователей
• Анализ сетевого трафика: Blizzard использовала
локальные прокси-сети для запуска своих атак, • Сброс скомпрометированные паролей
маршрутизируя трафик через огромное количество
IP-адресов, также используемых законными • Использование Microsoft Entra ID Protection
пользователями. Мониторинг и анализ сетевого • Аудит Microsoft Purview.
трафика на предмет подозрительных шаблонов
может помочь обнаружить такие действия. • Обеспечение защиты пароля с использованием
Microsoft Entra для AD
• Регулярное исправление и обновление:
Поддержание систем и программного обеспечения в • Обнаружение рисков при входе пользователя в
актуальном состоянии имеет решающее значение систему
для защиты от атак, использующих известные
уязвимости. B. Руководство по обнаружению угроз
После кибератаки Blizzard корпорация Майкрософт
Защита от вредоносных приложений OAuth: предоставила подробное руководство по обнаружению и
• Проверка уровни привилегий: использование поиску таких угроз.
портала авторизации Microsoft Graph Data Connect • Поиск признаков компрометации:
для проверки уровня привилегий всех
удостоверений, как пользователей, так и участников • Анализ данных журнала
службы, в клиенте. Также важно проверить
привилегии, особенно если они принадлежат • Инструменты управления поведением пользователя
неизвестным идентификаторам, привязаны к Руководство Microsoft по обнаружению и
идентификаторам, которые больше не отслеживанию кибератак Blizzard включает проверку
используются, или являются избыточными. активности веб-служб Exchange (EWS) и использование
• Проверка ApplicationImpersonation привилегий Microsoft Entra ID Protection, которая содержит несколько
пользователя ApplicationImpersonation: Проверка соответствующих обнаружений, помогающих
удостоверений с помощью привилегий организациям идентифицировать эти методы или
ApplicationImpersonation в Exchange Online, дополнительные действия, которые могут указывать на
поскольку они позволяют участнику службы аномальную активность. Использование инфраструктуры
выдавать себя за пользователя. Использование локальной прокси-сети субъектами угроз, как правило, с
команду PowerShell Get-ManagementRoleAssignment большей вероятностью генерирует предупреждения
-Роль ApplicationImpersonation -GetEffectiveUsers Microsoft о защите идентификаторов Entra из-за
для проверки этих разрешений. несоответствий в моделях поведения пользователей по
• Определение вредоносных приложений OAuth: сравнению с законными действиями.
применение политик обнаружения аномалий для К числу предупреждений о защите идентификатора
обнаружения вредоносных приложений OAuth, Microsoft Entra, которые могут помочь указать на
которые выполняют конфиденциальные активность угрозы, связанную с этой атакой, относятся:
административные действия Exchange Online.
• Незнакомые свойства входа: это предупреждение
• Управление приложениями с условным помечает входы из сетей, устройств и
доступом: реализовать управление приложениями с местоположений, которые не знакомы
условным доступом для пользователей, пользователю.
подключающихся с неуправляемых устройств, для
мониторинга и контроля того, как они получают • Password-spray атаки: это обнаружение риска
доступ к облачным приложениям. срабатывает, когда успешно выполнена
соответствующая атака.
• Мониторинг разрешений: мониторинг всех
приложений, содержащих EWS.Доступ к • Информация об угрозах: это предупреждение
пользователю EWS.full_access_as_app с указывает на необычную для пользователя
последующим удалением при отсутствии активность или соответствует известным схемам
необходимости в их дальнейшем применении. атак.
• Управление доступом на основе ролей: • Подозрительные входы (идентификаторы
реализация механизмов управления доступом на рабочей нагрузки): это предупреждение указывает
основе ролей для приложений в Exchange Online, на свойства или шаблоны входа, необычные для
чтобы гарантировать, что им предоставляется соответствующего участника службы.
 Больше материалов: Boosty
C. Оповещения и защита XDR и SIEM связанной с почтой. Это приложение может быть
частью кампании атак и может быть вовлечено в
Microsoft Defender для облачных приложений и утечку конфиденциальной информации.
Microsoft Defender XDR также предоставляют оповещения,
которые могут помочь указать на активность, связанную с • Подозрительный пользователь создал
угрозой. Эти предупреждения включают указания на приложение OAuth, которое получало доступ к
значительное увеличение обращений к API веб-служб элементам почтового ящика – пользователь,
Exchange, подозрительные метаданные, связанные с который ранее входил в сеанс среднего или высокого
риска, создал приложение OAuth, которое
деятельностью, связанной с почтой, и создание приложения использовалось для доступа к почтовому ящику с
OAuth, которое обращалось к элементам почтового ящика. помощью операции синхронизации или к
Клиенты Microsoft Defender XDR и Microsoft Sentinel нескольким сообщениям электронной почты с
помощью операции привязки. Злоумышленник мог
также могут использовать специальные поисковые запросы скомпрометировать учётную запись пользователя,
и аналитические правила для поиска связанных действий в чтобы получить доступ к ресурсам организации для
своих сетях. К ним относятся запросы для поиска дальнейших атак.
пользователей, выполняющих вход по помеченному IP-
адресу, и правила для их идентификации, предоставление Следующее предупреждение Microsoft Defender XDR
разрешения full_access_as_app приложению OAuth и может указывать на связанную активность:
добавление участника / пользователя служб с • Подозрительный пользователь создал приложение
повышенными разрешениями OAuth, которое получало доступ к элементам
почтового ящика. Пользователь, ранее выполнивший
Как только субъект решает использовать приложения вход в сеанс средней или высокой степени риска,
OAuth для своей атаки, в предупреждениях могут быть создал приложение OAuth, которое использовалось
указаны различные последующие действия, которые для доступа к почтовому ящику с помощью операции
помогут организациям выявлять и расследовать синхронизации или к нескольким сообщениям
подозрительную активность. электронной почты с помощью операции привязки.
Злоумышленник мог скомпрометировать учётную
Следующие предупреждения Microsoft Defender для запись пользователя, чтобы получить доступ к
облачных приложений могут помочь определить ресурсам организации для дальнейших атак
активность, связанную с угрозой:
Системы расширенного обнаружения и реагирования
• Приложение с разрешениями только для (XDR) и управления информацией о безопасности и
приложений для доступа к многочисленным событиями (SIEM) могут обеспечивать оповещения и
электронным письмам – многопользовательское защиту от вредоносных действий, подобных тем, которые
облачное приложение с разрешениями только для выполняются группой угроз Blizzard.
приложений показало значительное увеличение
обращений к API веб-служб Exchange, Microsoft Defender для облачных приложений может
специфичному для перечисления и сбора генерировать оповещения о различных подозрительных
электронных писем. Приложение может быть действиях, в том числе:
задействовано в доступе к конфиденциальным
данным электронной почты и их извлечении. • Приложение с разрешениями только на доступ к
электронным письмам.
• Увеличение числа обращений API приложения к
EWS после обновления учётных данных – это • Увеличение числа вызовов API приложений к веб-
обнаружение генерирует предупреждения для службам Exchange (EWS) в т.ч. после обновления
приложений OAuth, отличных от Microsoft, когда учётных данных.
приложение показывает значительное увеличение
числа обращений к API веб-служб Exchange в • Метаданные приложения, связанные с
течение нескольких дней после обновления его подозрительными действиями, связанными с
сертификатов / секретов или добавления новых почтой.
учётных данных. • Подозрительный пользователь, создающий
• Увеличение числа обращений API приложений к приложение OAuth с доступом к элементам
EWS – это обнаружение генерирует предупреждения почтового ящика.
для приложений OAuth, отличных от Microsoft, • Microsoft Defender XDR также может генерировать
которые демонстрируют значительное увеличение предупреждение, когда подозрительный
числа обращений к API веб-служб Exchange. Это пользователь создаёт приложение OAuth, которое
приложение может быть задействовано в обращается к элементам почтового ящика.
эксфильтрации данных или других попытках доступа
к данным и их извлечения. Для обнаружения «password-spray» атак службы
• Метаданные приложения, связанные с безопасности могут использовать различные поисковые
подозрительной активностью, связанной с почтой запросы, которые анализируют данные журнала на наличие
– при этом обнаружении генерируются признаков таких атак:
предупреждения для приложений OAuth, отличных
от Microsoft, с метаданными, такими как имя, URL • Неудачные попытки аутентификации в
или издатель, которые ранее наблюдались в нескольких учётных записях: внезапные
приложениях с подозрительной активностью, аномальные значения числа неудачных попыток
 Больше материалов: Boosty
входа в систему или заблокированных учётных систему и аномальных шаблонов может помочь
записей, которые могут указывать на password-spay выявить потенциальные атаки. Инструменты
атаки мониторинга могут отслеживать попытки входа в
систему из необычных мест или в необычное время,
• Попытки входа из подозрительных что может указывать на атаку с использованием
местоположений: попытки входа из пароля.
местоположений, которые необычны для
пользователя, поскольку злоумышленники могут • Анализ поведения пользователя: анализ
использовать IP-адреса из разных географических поведения пользователя может помочь обнаружить
регионов подозрительные действия. Отклонения от
нормального поведения, такие как попытки входа в
• Необычное время входа в систему: атаки часто систему в нерабочее время или одновременные
происходят в часы, когда меньше пользователей, попытки входа в систему из нескольких мест, могут
поэтому мониторинг попыток аутентификации в это быть предупреждающими знаками для атак с
время может быть полезен использованием паролей
• Низкие и медленные показатели атак: ряд атак • Настройка параметров пароля безопасности:
ориентирован на попытки оставаться если в организации используется платформа
незамеченными, не вызывая блокировок учётных ведения журнала безопасности, необходимо
записей или пороговых значений неверного пароля убедиться, что она настроена на идентификацию
• Расширенные поисковые запросы: использование или обнаружение неудачных попыток входа во всех
инструмента поиска угроз на основе запросов, такой системах. Это поможет вам в будущем
как расширенный поиск Microsoft Defender, для обнаруживать характерные признаки атак с
проверки событий в сети и сбора дополнительной использованием паролей
информации, связанной с предупреждениями о • Мониторинг и ведение журнала: это одни из
спрее пароля лучших превентивных способов обнаружения атак с
• Классификация предупреждений: проверка использованием паролей. Они помогают
пользователя на другие предупреждения до обнаруживать неудачные попытки входа в систему
действия по удалению пароля, такие как и соответствующим образом информировать ИТ-
предупреждения о невозможных поездках, действия администратора. Например, при 5 неудачных
из редких стран/регионов или подозрительные попытках входа в систему политика паролей
действия по удалению электронной почты блокирует учётную запись пользователя, а решение
для мониторинга сети подаёт сигнал тревоги ИТ-
Ряд поисковых запросов, рекомендуемых корпорацией администратору
Майкрософт: • SIEM: в случае необычного поведения в
организации система SIEM зафиксирует это.
// Find sign-ins by a labeled password spray IP Решения SIEM собирают и анализируют данные о
IdentityLogonEvents событиях в режиме реального времени с сетевых
| where Timestamp between (startTime .. endTime) устройств, серверов, контроллеров домена и
| where isnotempty(IPTags) and not(IPTags многого другого, предоставляя аналитические
has_any('Azure','Internal Network IP','branch office')) данные о безопасности для анализа в режиме
реального времени предупреждений о
| where IPTags has_any ("Brute force attacker", "Password безопасности, генерируемых приложениями и
spray attacker", "malicious", "Possible Hackers") сетевым оборудованием
// Find MailItemsAccessed or SaaS actions performed by a Организации могут использовать разрешения
labeled password spray IP приложений OAuth для обнаружения потенциальных
CloudAppEvents уязвимостей безопасности несколькими способами:
| where Timestamp between (startTime .. endTime)
| where isnotempty(IPTags) and not(IPTags • Расследование и устранение опасных
has_any('Azure','Internal Network IP','branch office')) приложений OAuth: организации могут
| where IPTags has_any ("Brute force attacker", "Password использовать такие инструменты, как Microsoft
spray attacker", "malicious", "Possible Hackers") Defender для облачных приложений, для
расследования и устранения опасных приложений
OAuth. Это включает в себя тщательную проверку
Анализ сетевого трафика может быть мощным приложений, которые недавно не обновлялись,
инструментом для обнаружения password-spay атак: приложений с несоответствующими разрешениями
• Системы обнаружения вторжений (IDS): и приложений, которые кажутся подозрительными
инструменты IDS отслеживают сетевой трафик и на основе их названия, издателя или URL. Аудит
помечают подозрительные действия при входе в приложения OAuth можно экспортировать для
систему. Они анализируют попытки входа в дальнейшего анализа пользователей,
систему, блокировки учётных записей и сбои авторизовавших приложение
аутентификации, чтобы выявить потенциальные • Создание политик для управления
атаки с использованием паролей приложениями OAuth: организации могут
• Мониторинг безопасности: непрерывный устанавливать политики разрешений для получения
мониторинг действий пользователя при входе в автоматических уведомлений, когда приложение
OAuth соответствует определённым критериям.
 Больше материалов: Boosty
Например, оповещения можно настроить для злоупотребления может помочь организациям
приложений, которым требуется высокий уровень обнаруживать потенциальные уязвимости в системе
разрешений. Политики приложений OAuth безопасности и реагировать на них. Например,
позволяют организациям отслеживать, какие Microsoft предоставляет запросы, которые можно
разрешения запрашивало каждое приложение, и использовать для идентификации отправителей
какие пользователи авторизовали эти разрешения электронной почты с высоким уровнем исходящей
почты и подозрительных событий электронной
• Выявление уязвимостей в реализации OAuth: почты
уязвимости могут возникать в реализации OAuth
клиентским приложением, а также в конфигурации • Понимание последствий согласия вредоносного
самой службы OAuth. Выявление и использование приложения OAuth: если пользователь
этих уязвимостей может помочь организациям предоставляет доступ к вредоносному стороннему
защитить свои собственные приложения от приложению, приложение может получить доступ к
аналогичных атак данным пользователя и выполнять действия от его
имени. Понимание последствий таких действий
• Мониторинг вредоносных приложений OAuth: может помочь организациям разработать стратегии
участники угроз могут злоупотреблять обнаружения и устранения потенциальных
приложениями OAuth для автоматизации уязвимостей в системе безопасности
финансовых атак. Мониторинг такого