Опасные приглашения: российский субъект угроз подделывает европейские мероприятия по безопасности

от автора

В начале 2025 года Volexity опубликовала две статьи, в которых подробно описала новую тенденцию среди российских субъектов угроз: для получения доступа к учётным записям пользователей Microsoft злоумышленники атаковали организации, злоупотребляя сценариями Microsoft 365 OAuth и аутентификации по коду устройства (Device Code). Несмотря на публичное раскрытие этой активности, Volexity продолжает наблюдать, как российские субъекты угроз применяют схожие техники для интенсивных атак как на среды Microsoft, так и на среды Google.

Сами техники остаются похожими, однако меняются способы и легенды, с помощью которых злоумышленники выбирают цели и воздействуют на пользователей методами социальной инженерии.

В этой статье Volexity рассматривает две новые кампании, в которых злоумышленники использовали сценарии OAuth и Device Code для фишинга данных доступа конечных пользователей. В рамках атак создавались поддельные сайты, маскировавшиеся под реальные международные мероприятия по вопросам безопасности, проходившие в Европе. Цель состояла в том, чтобы убедить зарегистрировавшихся участников предоставить несанкционированный доступ к своим учётным записям. В кампаниях, которые наблюдала Volexity, использовались следующие реальные мероприятия:

Чтобы повысить вероятность успеха, злоумышленники применяли несколько методов:

  • Фишинг с предварительным установлением доверия. Злоумышленник часто сначала налаживает общение с жертвой. На первом этапе никаких вредоносных материалов не отправляется. Фишинговая ссылка появляется позднее — после того, как выбранный пользователь подтвердит свой интерес.

  • Поддельные сайты. Злоумышленник создаёт отдельные, аккуратно оформленные и профессионально выглядящие сайты, помогающие проводить атаки.

  • Сопровождение пользователей через WhatsApp или Signal. Злоумышленник предлагает цели «поддержку в реальном времени», чтобы пользователь правильно отправил ему URL, необходимый для завершения OAuth-фишинга.

Volexity связывает эти новые кампании с российским субъектом угроз, которого отслеживает под идентификатором UTA0355. Это тот же субъект, о котором Volexity сообщала в апреле 2025 года.

Belgrade Security Conference

В октябре 2025 года Volexity расследовала инцидент, в ходе которого учётная запись пользователя Microsoft 365 была признана скомпрометированной после обнаружения аномальной активности при входе. Расследование показало, что пользователь получил целевое фишинговое письмо, ведущее к сценарию OAuth-аутентификации. Письмо пришло из учётной записи, с владельцем которой пользователь недавно переписывался, и продолжало существующую легитимную цепочку сообщений, посвящённую предстоящей Belgrade Security Conference в Сербии.

Этот способ фишинга также требовал, чтобы атакуемый пользователь отправил злоумышленнику сгенерированный Microsoft код, находившийся в адресной строке браузера. В электронной переписке не было указаний, что именно следует сделать с этим кодом, поэтому Volexity предположила, что злоумышленник общался с жертвой за пределами электронной почты.

Совместно с заказчиком Volexity выяснила, что субъект угроз активно общался с выбранным пользователем в WhatsApp. Злоумышленник связался с ним от имени двух разных людей, имевших отношение к Belgrade Security Conference; учётные записи обоих были скомпрометированы. Первый собеседник в WhatsApp лишь предупредил пользователя, что вскоре с ним свяжется его «коллега».

Затем второй собеседник в WhatsApp представился этим коллегой — человеком, участвовавшим в почтовой переписке, — и подготовил пользователя к получению письма с приглашением.

После этого злоумышленник применил фишинг с предварительным установлением доверия: сначала поддерживал безобидную беседу, а позднее отправил приглашение зарегистрироваться для получения информационных материалов Belgrade Security Conference, как показано ниже.

Фишинговое письмо с приглашением зарегистрироваться в информационном ресурсе Belgrade Security Conference

Фишинговое письмо с приглашением зарегистрироваться в информационном ресурсе Belgrade Security Conference

Гиперссылка из приведённого выше письма вела на принадлежащий Microsoft URL, который можно было использовать в рамках OAuth-фишинга:

https://login.microsoft[.]com/common/oauth2/authorize?client_id=29d9ed98-a469-4536-ade2-f981bc1d605e&resource=01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9&redirect_uri=https%3A%2F%2Flogin.microsoftonline.com%2FWebApp%2FCloudDomainJoin%2F8&response_type=code&amr_values=ngcmfa&login_hint=[user]

После того как выбранный пользователь выполнил вход, он оказался на пустой веб-странице, URL которой содержал OAuth-токен. Под предлогом «завершения регистрации» злоумышленник попросил пользователя отправить этот URL, чтобы закончить процесс.

После успешного фишинга злоумышленник использовал учётную запись Microsoft жертвы для доступа к множеству файлов через Microsoft 365. Среди примечательных особенностей этой активности Volexity выделила следующие:

  • для доступа к данным использовалось устройство с именем DESKTOP-[REDACTED];

  • для сохранения доступа к учётной записи в Microsoft Entra ID было создано новое устройство. Ему присвоили то же имя, что и уже существующему устройству пользователя. Например, если устройство пользователя называлось Charles E. Cheese’s iPhone, вновь зарегистрированное устройство получало такое же имя;

  • в запросах использовался следующий User-Agent: Dalvik/2.1.0 (Linux; U; Android 14; 2211133C Build/UKQ1.230705.002) ;Xiaomi.

В данном случае особенно примечательно, что доступ с устройства, названного «iPhone», выполнялся с аппарата, выдававшего себя за телефон на Android.

Расширение фишинговой операции

Вскоре после этой тщательно нацеленной операции Volexity зафиксировала более широкую кампанию, проводившуюся с созданной злоумышленником учётной записи Gmail. В ноябре 2025 года с неё рассылались целевые фишинговые письма различным адресатам среди клиентов Volexity. Все сообщения содержали ссылку на недавно созданный сайт bsc2025[.]org, маскировавшийся под отдельный домен Belgrade Security Conference. Поддельная страница показана ниже.

Поддельный сайт регистрации на Belgrade Security Conference

Поддельный сайт регистрации на Belgrade Security Conference

В фишинговом письме пользователям предлагалось зарегистрироваться на мероприятие через этот сайт. В ходе регистрации появлялось сообщение о необходимости указать «корпоративный адрес электронной почты», а не «личный», как показано ниже.

Требование использовать корпоративный адрес электронной почты

Требование использовать корпоративный адрес электронной почты

Регистрация на мероприятие через bsc2025[.]org с использованием корпоративной учётной записи приводила к одному из двух сценариев:

  • Если домен указанного адреса электронной почты не представлял интереса для злоумышленника, сайт устанавливал cookie-файл cookie_reg, содержащий адрес регистрирующегося пользователя в кодировке Base64. Затем пользователя перенаправляли на страницу с сообщением об успешной регистрации и его «регистрационными» данными.

  • Если домен адреса электронной почты представлял интерес для злоумышленника, устанавливался тот же cookie-файл cookie_reg, а регистрационные данные пользователя сохранялись. Однако затем пользователя перенаправляли в фишинговый сценарий Microsoft 365, где ему предлагалось выполнить вход по URL следующего формата:

https://login.microsoftonline[.]com/common/reprocess?ctx=rQQIARAAJU3P[snipped]m5T2D81&sessionId=941739c9[snipped]2e06bf63f947

Для пользователя эта страница выглядела как настоящая форма входа Microsoft 365. Единственным признаком фишинга было показанное ниже диалоговое окно Microsoft Authentication Broker, которое появлялось после завершения аутентификации в сервисах Microsoft.

Диалог Microsoft Authentication Broker

Диалог Microsoft Authentication Broker

Volexity отмечает, что Microsoft Authentication Broker — это то же приложение, которое по умолчанию настроено в доступном на GitHub проекте DeviceCodePhishing. Когда специалисты Volexity передали злоумышленнику данные тестовой учётной записи-приманки, они зафиксировали последующие попытки активности с домашнего IP-адреса Comcast в США. По данным Spur, этот адрес относился к прокси-сети.

Brussels Indo-Pacific Dialogue

В тот же период Volexity отслеживала отдельную кампанию, также связанную с UTA0355. Во второй кампании письма якобы отправлял сотрудник Centre for Security, Diplomacy, and Strategy (CSDS) при Vrije Universiteit Brussel в Бельгии. В первых обнаруженных сообщениях получателей приглашали принять участие в предстоящем мероприятии Brussels Indo-Pacific Dialogue (BIPD).

Volexity обнаружила целевые фишинговые кампании против своих клиентов. Их целями становились люди, занимавшиеся внешней политикой, европейской тематикой либо ранее занимавшие высокие должности в правительстве США. Пример первого обращения показан ниже.

Первое фишинговое письмо с приглашением на Brussels Indo-Pacific Dialogue

Первое фишинговое письмо с приглашением на Brussels Indo-Pacific Dialogue

Обменявшись с выбранным пользователем несколькими письмами, отправитель присылал в следующем сообщении URL и сообщал, что для добавления пользователя в «систему BIPD» необходимо перейти по вредоносной ссылке, как показано ниже. Ссылка была уникальной для каждой цели.

Повторное письмо со ссылкой на поддельную систему BIPD

Повторное письмо со ссылкой на поддельную систему BIPD

На момент анализа уникальный URL уже не работал. Однако в письме злоумышленник просил при возникновении ошибки «скопировать и отправить точный URL» из браузера, что соответствует техникам фишинга OAuth-кодов.

Домен ustrs[.]com, по всей видимости, был приобретён через аукцион доменов или аналогичный сервис. Согласно WHOIS, первоначально домен был создан 5 февраля 2020 года, однако его данные обновили 31 октября 2025 года. Такой приём позволяет обходить системы оценки репутации, использующие возраст домена как индикатор риска. Ниже приведён фрагмент WHOIS-записи:

Domain Name: USTRS.COMRegistry Domain ID: 2488656711_DOMAIN_COM-VRSNRegistrar WHOIS Server: whois.dynadot.comRegistrar URL: http://www.dynadot.comUpdated Date: 2025-10-31T14:30:50.0ZCreation Date: 2020-02-05T03:19:46.0ZRegistrar Registration Expiration Date: 2026-02-05T03:19:46.0Z

В ноябре 2025 года Volexity наблюдала, как тот же отправитель связывался с другими клиентами сервиса сетевого мониторинга безопасности Volexity (NSM). На этот раз пользователям предлагали зарегистрироваться на конференцию через отдельный сайт brussels-indo-pacific-forum[.]org. Сайт выдавал себя за ресурс BIPD, как показано ниже.

Поддельный сайт Brussels Indo-Pacific Dialogue

Поддельный сайт Brussels Indo-Pacific Dialogue

При посещении сайта и попытке регистрации цель попадала в сценарий атаки, где фишинг через Device Code в Microsoft 365 маскировался под легитимный процесс регистрации. Пользователей, не представлявших интереса для злоумышленника, после успешной «регистрации» перенаправляли на страницу с регистрационными данными, показанную ниже.

Страница с поддельным подтверждением регистрации на BIPD

Страница с поддельным подтверждением регистрации на BIPD

Как и в кампании, использовавшей тему Belgrade Security Conference, дальнейший доступ к скомпрометированным учётным записям выполнялся через узлы прокси-сетей.

Расширение списка целей

Volexity также наблюдала несколько случаев, когда UTA0355 пытался расширить список целей, обращаясь с дополнительными просьбами к людям, которых ранее пытался атаковать с помощью целевого фишинга. Если пользователь отвечал на приглашение и сообщал, что не сможет посетить мероприятие или принять в нём участие, субъект угроз часто направлял две просьбы.

Во-первых, первоначальную цель всё равно просили зарегистрироваться, чтобы получать будущие обновления. Во-вторых, человека просили сообщить имена и адреса электронной почты коллег, которых мероприятие также могло заинтересовать. Volexity зафиксировала несколько случаев, когда UTA0355 действительно получал дополнительные контакты. По меньшей мере в одном случае ничего не подозревавший человек даже познакомил новую цель с UTA0355.

World Nuclear Exhibition

WHOIS-запись домена bsc2025[.]org, выдававшего себя за сайт Belgrade Security Conference, показала, что злоумышленник зарегистрировал домен с помощью адреса электронной почты малоизвестного сервиса mailum[.]com, как показано ниже.

WHOIS-данные домена bsc2025.org

WHOIS-данные домена bsc2025.org

Поиск других доменов, зарегистрированных с адресами того же почтового сервиса, позволил обнаружить дополнительную связанную инфраструктуру, маскировавшуюся под World Nuclear Exhibition, проходившую 4–6 ноября 2025 года. В ходе расследования Volexity обнаружила следующие домены:

  • world-nuclear-exhibition-paris[.]com;

  • wne-2025[.]com;

  • confirmyourflight-parisaeroport[.]com.

Volexity не смогла подтвердить, как именно использовались эти домены, однако считает возможным, что UTA0355 применял их в более ранних атаках.

Заключение

После того как в начале года Volexity описала атаки российских субъектов угроз на пользователей и организации Microsoft 365 с использованием сценариев Device Code и OAuth, компания продолжила наблюдать значительный рост числа подобных техник в тщательно нацеленных атаках. Эти сценарии были пригодны для атак уже давно, однако различные субъекты угроз, по всей видимости, стали применять их чаще и сильнее от них зависеть. Volexity предполагает, что причина заключается в высокой эффективности такого способа компрометации учётных записей.

Описанные в этой статье кампании — лишь небольшая часть атак, наблюдавшихся в течение года. По оценке Volexity, они по-прежнему весьма эффективны. Особенно хорошо они работают в сочетании с продуманными методами социальной инженерии: предварительным установлением доверия и созданием поддельных сайтов, имитирующих легитимные ресурсы.

Во время этих кампаний Volexity обратила особое внимание на следующие факторы:

  • Сценарии «регистрации» на мероприятия BIPD и BSC напоминают реальные процессы аутентификации, в которых пользователям предлагают выполнить единый вход (SSO) через различные сервисы.

  • Использование предстоящих мероприятий как предлога для начала общения также оказалось эффективным. Volexity наблюдала, как пользователи самостоятельно пересылали приглашения на мероприятия коллегам внутри организации, которые могли подойти в качестве участников. Фактически пользователи помогали злоумышленнику формировать список целей как для текущей фишинговой кампании, так и для будущих атак.

  • Использование скомпрометированных учётных записей для отправки фишинговых материалов несёт для злоумышленников риск: если получатели сообщат о фишинге первоначально скомпрометированной организации, вторжение может быть раскрыто. С другой стороны, письма из скомпрометированных учётных записей повышают убедительность атаки. Volexity со средней степенью уверенности оценивает, что это приводит к высокой доле переходов по ссылкам.

  • Продолжающееся использование WhatsApp, Signal и других мессенджеров для связи с целями до начала или непосредственно во время целевой фишинговой кампании создаёт дополнительный канал коммуникации и придаёт операции видимость легитимности.

Объём работы, необходимый для создания сайтов, имитирующих реальные мероприятия, выдачи себя за связанных с ними людей и прямого общения с пользователями в мессенджерах, показывает, что UTA0355 располагает значительными ресурсами и высоким уровнем компетенций.

Индикаторы компрометации, связанные с этими кампаниями, опубликованы в репозитории Volexity на GitHub.


В Telegram я выкладываю то, что обычно не помещается в статьи: первоисточники, скриншоты, промежуточные выводы и разборы реальных ИБ-инцидентов.

Без пересказов пресс-релизов и легенды о десятилетиях опыта — я честно показываю, как сам разбираюсь в теме, учусь и иногда меняю мнение после новых фактов.

Мой Telegram-канал: Кибербезнадёжен

ссылка на оригинал статьи https://habr.com/ru/articles/1059264/