AiTM-фишинговая кампания против Microsoft 365

Introduction

Microsoft обнаружила сложную фишинговую кампанию, нацеленную более чем на 35 000 пользователей из свыше 13 000 организаций в 26 странах. Для администраторов Microsoft 365 и специалистов по безопасности это важно, поскольку атака использовала технику adversary-in-the-middle (AiTM) для перехвата токенов аутентификации, что позволяет обходить MFA, неустойчивую к фишингу, и дает злоумышленникам немедленный доступ к учетным записям.

What’s new

В период с 14 по 16 апреля 2026 года Microsoft наблюдала многоэтапную фишинговую операцию, использовавшую приманки в виде code of conduct и internal compliance. Сообщения были оформлены как легитимные внутренние коммуникации и отправлялись в аутентифицированных письмах с доменов, контролируемых злоумышленниками, через легитимный сервис доставки электронной почты.

Ключевые характеристики кампании включали:

• Хорошо оформленные письма в тематике compliance со срочными темами о нарушениях сотрудниками или несоблюдении требований
• PDF-вложения с инструкциями для получателей по просмотру материалов дела
• Несколько промежуточных страниц, включая проверки CAPTCHA и дополнительные этапы «verification»
• Финальный запрос на вход Microsoft, встроенный в AiTM-поток для перехвата session tokens
• Широкое воздействие на разные отрасли, особенно Healthcare, Financial Services, Professional Services и Technology

По данным Microsoft, большинство жертв находились в США, однако кампания затронула организации по всему миру.

Why this attack is significant

В отличие от обычного фишинга учетных данных, AiTM-атаки проксируют сессию аутентификации в реальном времени. Это означает, что даже если пользователь проходит MFA, злоумышленники все равно могут перехватить токены и повторно использовать их для доступа к аккаунтам.

Эта кампания также показывает, как эволюционируют фишинговые тактики:

• Злоумышленники использовали HTML-шаблоны в корпоративном стиле, чтобы повысить доверие
• Они применяли давление временем и обвинения в стиле HR, чтобы заставить жертву действовать быстро
• CAPTCHA и промежуточные страницы помогали обходить автоматизированный анализ безопасности
• Финальный процесс входа выглядел достаточно легитимно, чтобы снизить подозрения пользователей

Impact on IT administrators

Командам безопасности стоит воспринимать это как напоминание: одной только осведомленности пользователей недостаточно. Организациям нужна многоуровневая защита электронной почты, identity, endpoint и web.

Администраторам следует проверить:

• Конфигурации Exchange Online Protection и Microsoft Defender for Office 365
• Политики anti-phishing и защиту от impersonation
• Поддержку SmartScreen в управляемых браузерах
• Network protection в Windows для блокировки вредоносных web-ресурсов
• Покрытие обнаружения и реагирования для подозрительной активности входа и злоупотребления токенами

Recommended next steps

IT-командам следует предпринять следующие действия:

1. Обучить пользователей распознавать HR-, compliance- и regulatory-фишинговые приманки
2. Проводить фишинговые симуляции с помощью attack simulation training в Microsoft Defender for Office 365
3. Усилить настройки безопасности электронной почты и просмотреть рекомендации по политикам в Microsoft security portal
4. Отдавать приоритет аутентификации, устойчивой к фишингу, где это возможно
5. Искать indicators of compromise и расследовать необычное поведение сессий, связанное с событиями входа

Эта кампания вновь подтверждает ключевой урок безопасности: современный фишинг — это уже не только про пароли. Защита от кражи токенов требует более сильной защиты identity, лучшей безопасности электронной почты и непрерывного обучения пользователей.