В середине апреля 2026 года выявлена многоступенчатая фишинговая кампания, нацеленная более чем на 35 000 пользователей в 13 000 организаций и использующая правдоподобные письма о нарушении кодекса поведения, легитимные почтовые сервисы и схему adversary‑in‑the‑middle (AiTM) для кражи учетных данных и токенов Microsoft, что позволяет атакующим обходить многофакторную аутентификацию; наибольший риск несут организации из США в отраслях здравоохранения, финансов, профессиональных услуг и технологий, которым необходимо пересмотреть защиту почты, политику доступа и подход к MFA.
Технические детали кампании и ландшафта почтовых угроз
Кампания наблюдалась в период с 14 по 16 апреля 2026 года и была ориентирована преимущественно на пользователей в США (92% целей). Основной вектор — фишинг по почте в стиле корпоративных уведомлений, что укладывается в технику phishing по MITRE ATT&CK T1566.
Лур «кодекс поведения» и социальная инженерия давления
Сообщения оформлены как внутренние уведомления о проверке нарушений кодекса поведения: используются отображаемые имена наподобие «Internal Regulatory COC», «Workforce Communications», «Team Conduct Report» и темы вроде «Internal case log issued under conduct policy» или «Reminder: employer opened a non-compliance case log».
Ключевые элементы, повышающие конверсию атаки:
- полированные HTML‑шаблоны с типичной для корпораций версткой и «заявлениями об подлинности» в верхней части письма («сообщение выдано через авторизованный внутренний канал», «ссылки и вложения проверены»);
- обвинительный тон (якобы инцидент нарушения политики) и многократные «срочные» призывы к действию с ограничением по времени;
- наличие PDF‑вложения, которое обещает подробности расследования и побуждает к переходу по ссылке внутри документа.
Такое сочетание эксплуатирует не только доверие к «внутренним» каналам, но и страх дисциплинарных последствий, снижая критичность восприятия пользователем.
Цепочка атаки: от CAPTCHA до AiTM и кражи токенов
Технически цепочка выстроена так, чтобы одновременно повысить убедительность и усложнить автоматическое обнаружение:
- Отправка писем с легитимного сервиса доставки почты. Это позволяет письмам успешно проходить SPF/DKIM/DMARC и не вызывать подозрений у фильтров репутации.
- Переход по ссылке из PDF. Переадресация ведет через несколько промежуточных страниц и CAPTCHA, формируя у жертвы ощущение «защищенного» ресурса и отсекая часть автоматических сканеров.
- Финальный этап — AiTM‑страница входа. Завершающий ресурс имитирует страницу входа Microsoft, но реализует схему adversary‑in‑the‑middle, описанную в MITRE ATT&CK T1557: атакующий выступает «прокси» между пользователем и настоящей страницей входа.
В результате злоумышленники в реальном времени перехватывают не только логин и пароль, но и сессионные токены, что дает возможность:
- обходить даже корректно настроенную MFA, поскольку токен подтверждает уже прошедшую проверку; и
- захватывать активные сеансы без ввода пароля и повторного MFA.
При этом финальная страница адаптируется под устройство (мобильное или настольное), что дополнительно снижает вероятность того, что пользователь заподозрит подделку.
Данные Microsoft о почтовых угрозах за Q1 2026
В расширенном анализе за январь–март 2026 года Microsoft фиксирует:
- около 8,3 млрд почтовых фишинговых угроз за квартал;
- почти 80% атак — ссылочные, с доминированием крупных HTML и ZIP как носителей вредоносных загрузок или фишинговых форм;
- основная цель атак — кража учетных данных; доля доставки малвари снижается до 5–6% к концу квартала;
- мощный рост QR‑фишинга: с 7,6 млн атак в январе до 18,7 млн в марте (рост на 146%), включая внедрение QR‑кодов прямо в тело письма;
- колебания, но высокий общий объем атак типа business email compromise (BEC) — 10,7 млн кампаний за квартал, с пиком свыше 4 млн в марте 2026 года.
Смещение приоритетов с малвари на кражу учетных данных еще раз подчеркивает: основной актив злоумышленников теперь — идентичность и токены, а не заражение рабочих станций.
Контекст угроз: PhaaS‑платформы и уход под «радар»
PhaaS и смена инфраструктуры Tycoon 2FA
Microsoft отмечает, что инфраструктура конечных фишинговых страниц кампании пересекается сразу с несколькими платформами «фишинг как услуга» (PhaaS): Tycoon 2FA, Kratos (ранее Sneaky 2FA) и EvilTokens. Это укладывается в технику MITRE ATT&CK T1583 Acquire Infrastructure, где аренда и повторное использование инфраструктуры минимизируют издержки атакующих.
После координированной операции по нарушению работы Tycoon 2FA в марте 2026 года операторы сервиса ушли от использования Cloudflare и распределили свои домены по другим хостинг‑платформам, подбирая аналоги с сопоставимыми механизмами противоанализа и защиты от блокировок. Это говорит о следующем:
- PhaaS‑операторы имеют зрелое управление инфраструктурой и готовы быстро мигрировать при давлении защитников;
- одна и та же фишинговая кампания может опираться сразу на несколько PhaaS, повышая живучесть и усложняя блокировку по доменным и хостинговым признакам.
Злоупотребление Amazon SES как доверенным транспортом
Параллельно Microsoft и Kaspersky фиксируют рост фишинговых и BEC‑кампаний, использующих Amazon Simple Email Service (SES) для доставки. Ключевой элемент атаки — компрометация или утечка AWS access keys для доступа к SES.
Когда атакующий получает такой ключ, он:
- отправляет массовый фишинг с домена и IP‑адресов, которым уже доверяют пользователи и фильтры;
- проходит SPF, DKIM и DMARC как «законный» отправитель;
- избегает затрат на создание и «прогрев» собственной почтовой инфраструктуры.
По оценке Kaspersky, «коварство» подобных атак именно в том, что внешне они не отличаются от легитимного трафика: домены и IP не выглядят подозрительно, а ссылки ведут на правдоподобные страницы входа с кражей учетных данных.
Оценка воздействия
В рассматриваемой кампании под удар попали, прежде всего, организации из следующих отраслей:
- здравоохранение и life sciences (19% целей);
- финансовые услуги (18%);
- профессиональные услуги (11%);
- технологии и программное обеспечение (11%).
Ключевая особенность риска — кража токенов и обход MFA. Это создает ряд последствий:
- Компрометация деловой переписки и цепочек оплаты. При доступе к почте и внутренним системам атакующие могут инициировать или эскалировать BEC‑схемы, переписывая реквизиты платежей, подменяя документы и общаясь от имени руководства.
- Эскалация привилегий через облачные сервисы. При компрометации учетной записи с административными правами возможны изменения конфигурации безопасности, создание новых учетных записей и постоянных точек присутствия.
- Риски для конфиденциальных данных. Доступ к почте, хранилищам документов и системам учета в отраслях здравоохранения и финансов ведет к потенциальной утечке чувствительных регуляторно значимых данных.
- Подрыв доверия к MFA. При успешных AiTM‑атаках бизнес может ошибочно сделать вывод «MFA не работает», тогда как проблема — в использовании методов, уязвимых к перехвату токена, и отсутствии дополнительных проверок контекста сессии.
Практические рекомендации по защите
1. Усиление аутентификации и защиты токенов
- Перейти на методы MFA, устойчивые к фишингу (FIDO2‑ключи, аппаратные токены, решения без пароля), по возможности ограничивая использование одноразовых кодов и пуш‑подтверждений.
- Внедрить строгие политики условного доступа: запрет устаревших протоколов, требования управляемых устройств и соответствия политике при доступе к критичным приложениям.
- Ограничить время жизни сессионных токенов для высокорисковых приложений и включить механизмы отзыва токенов при подозрительной активности.
2. Почтовая защита и работа с контентом писем
- Настроить правила высокой критичности для писем:
- с темами, связанными с кодексом поведения, дисциплинарными мерами или «internal case log»,
- приходящих якобы от HR/Compliance‑подразделений, но отправленных через внешние сервисы доставки.
- Запретить или ограничить автоматическое открытие вложенных PDF, содержащих внешние ссылки; включить превентивное сканирование таких документов.
- Использовать функции переписывания ссылок и анализа целевых страниц, уделяя особое внимание цепочкам с несколькими переадресациями и CAPTCHA.
- Для QR‑кодов в письмах — реализовать предварительный анализ целевого URL перед перенаправлением пользователя.
3. Мониторинг и поиск признаков компрометации
- Отслеживать аномалии входа:
- входы с новых стран или регионов вскоре после получения «дисциплинарных» писем,
- необычные шаблоны устройств (например, смена мобильного на настольный или наоборот без видимой причины).
- Настроить оповещения о массовых сбоях MFA или многочисленных попытках входа для одной учетной записи.
- Проводить регулярный threat hunting по индикаторам фишинговых страниц AiTM (нестандартные домены, повторяющиеся HTML‑шаблоны входа, характерные заголовки ответов), опираясь на известные TTP из описания AiTM‑техники.
4. Контроль доступа к Amazon SES и другим почтовым сервисам
- Провести инвентаризацию и ротацию AWS access keys, используемых для Amazon SES; включить мониторинг аномальной активности отправки.
- Минимизировать права ключей (принцип наименьших привилегий) и применять отдельные ключи для различных приложений.
- Встроить сигналы о рассылке с Amazon SES в системы корреляции событий (SIEM), чтобы отличать штатную рассылку от неожиданной массовой активности.
Главный вывод для организаций — рассматривать почтовые фишинговые кампании с AiTM и кражей токенов как угрозу идентичности, а не просто «злонамеренный спам», и в ближайшее время пересмотреть политику аутентификации, почтовую фильтрацию и мониторинг активности так, чтобы сочетание устойчивых к фишингу методов MFA, условного доступа и контроля за сессионными токенами стало стандартом защиты, а не дополнительной опцией.
