Varonis Threat Labs tadqiqotchilari yangi fishing kampaniyasini aniqlashdi. Ushbu kampaniyada xakerlar Microsoft 365’ning kam e’tiborga olinadigan Direct Send funksiyasidan foydalanishgan. Aslida bu funksiya printer kabi ichki qurilmalardan autentifikatsiyasiz xat yuborish uchun mo‘ljallangan. Biroq hujum doirasida u ichki manzillarni soxtalashtirish va akkauntlarni buzmasdan fishing xabarlarini yuborish uchun ishlatilgan.
Varonis ma’lumotlariga ko‘ra, kampaniya 2025-yil may oyida boshlangan va asosan AQShdagi 70 dan ortiq tashkilotni nishonga olgan. Hujumlar alohida kompaniyalarga yo‘naltirilgan bo‘lib, yuborilgan xatlar ichki tarmoq trafigidek ko‘rinib, hech qanday shubha uyg‘otmagan. Barcha holatlarni birlashtirgan umumiy belgilar bo‘lgan: bir xil xabar mavzulari, o‘xshash IP-manzillar va boshqa texnik belgilar. Microsoft 365 tizimiga qarshi shunday usullar ilgari ham mutaxassislar tomonidan qayd etilgan.
Muammoning mohiyati shundaki, Direct Send funksiyasi Microsoft’ning ichki pochta shlyuzi orqali hech qanday parol va tokenlarsiz xat yuborishga imkon beradi. Buning uchun xaker kompaniyaning domen nomi va bitta ichki manzilini bilsa kifoya. Qolgan barcha ma’lumotlarni avtomatik ravishda aniqlash yoki ochiq manbalardan topish mumkin.
Varonis jamoasi qayd etgan aniq hujumlarda xabarlar PowerShell yordamida yuborilgan. Xatlar ovozli xabarlar yoki fakslar haqidagi bildirishnomalarga o‘xshagan, ichida QR-kodli PDF fayl bo‘lgan va foydalanuvchini Microsoft 365 login ma’lumotlarini o‘g‘irlaydigan saytga yo‘naltirgan. Fishingda QR-kodlardan foydalanish borgan sari keng tarqalayotgan tahdidli taktikalardan biri hisoblanadi. SPF va DMARC tekshiruvlaridan o‘tolmagan va raqamli imzolarga ega bo‘lmagan bo‘lishiga qaramay, ushbu xatlar Microsoft infratuzilmasidan o‘tib, xodimlarning pochta qutilariga yetib borgan.
Ba’zi hollarda xavfsizlik tizimlari IP-manzillar kutilmagan geolokatsiyalardan (masalan, Ukrainadan) bo‘lgani uchun ogohlantirish bergan. Lekin bu yerda asosiy shubha foydalanuvchining tizimga kirishida emas, aynan xat yuborish faoliyatida yuzaga kelgan. Xabar sarlavhalarining tahlili pochta aslida tashqi manbadan yuborilganini, lekin ichki marshrutlashdan foydalanganini ko‘rsatgan. Shu yo‘l bilan u filtrlarni muvaffaqiyatli chetlab o‘tgan.
Mutaxassislar bunday hujumlardan himoyalanish uchun quyidagilarni tavsiya qilishmoqda:
- Direct Send funksiyasini bloklash,
- qat’iy DMARC siyosatini o‘rnatish,
- autentifikatsiyasiz xatlarni monitoring qilish,
- antispufing siyosatlarini joriy qilish,
- xodimlarni ayniqsa QR-kodli zararli ilovalar haqida ogohlantirish.
Shuningdek, SPF va DMARC’ning to‘g‘ri sozlanishi yuboruvchini soxtalashtirishning oldini olishda juda muhim. Ko‘p faktorli autentifikatsiyani joriy qilish va SPF yozuvlarida faqat ruxsat etilgan IP-manzillarni belgilash ham zarur.
Varonis ta’kidlaydi: hatto ichki xatlar ham xavfli bo‘lishi mumkin, agar shunday “ochiq eshiklar” nazoratsiz qoldirilsa. Ularning arsenalida real vaqt rejimida bunday tahdidlarni aniqlash va to‘xtatish imkonini beradigan vositalar mavjud.