На фоне продолжающегося напряжения на Ближнем Востоке исследователи зафиксировали масштабную password spraying-кампанию против облачных сред Microsoft 365, связанной с иранским киберподпольем. По данным Check Point, атаки пришлись прежде всего на Израиль и Объединённые Арабские Эмираты, но коснулись также организаций в Европе, США, Великобритании и Саудовской Аравии.
Масштабы атак на Microsoft 365 в Израиле и ОАЭ
По оценке израильской компании Check Point, кампания продолжается и развивается волнами: активность фиксировалась 3, 13 и 23 марта 2026 года. Под прицел попали более 300 организаций в Израиле и свыше 25 – в ОАЭ. Часть попыток компрометации затронула государственные структуры, муниципалитеты, транспортные, энергетические и технологические компании, а также частный сектор.
Целью атакующих являются облачные среды Microsoft 365 (M365): почтовые ящики, хранилища и связанные сервисы. Компрометация таких аккаунтов открывает путь к краже конфиденциальной переписки, документов, а также к дальнейшему продвижению внутри инфраструктуры.
Что такое password spraying и почему его выбирают иранские хакеры
Password spraying — это разновидность перебора паролей, при которой злоумышленник использует один или несколько распространённых паролей по большому числу учётных записей. В отличие от классического брутфорса, где «ломают» один аккаунт с множеством паролей, здесь пытаются подобрать один пароль сразу к десяткам и сотням логинов.
Такой подход снижает риск срабатывания средств защиты: лимитов по количеству неудачных попыток входа, блокировок и триггеров аномальной активности. Именно поэтому password spraying считается одним из наиболее эффективных методов массового поиска слабых учётных данных в корпоративных средах, в том числе в облаке Microsoft 365.
Связь с группировками Peach Sandstorm и Gray Sandstorm
Check Point отмечает, что описанная техника широко использовалась ранее иранскими группами Peach Sandstorm и Gray Sandstorm (ранее DEV‑0343), нацеленными на проникновение в государственные и критически важные инфраструктуры. Анализ логов Microsoft 365 в текущей кампании выявил сходство с тактиками Gray Sandstorm, включая применение ред-тим инструментов через выходные узлы сети Tor.
Инфраструктура атак основана на комбинации Tor-узлов и коммерческих VPN-сервисов, в частности узлов, размещённых в автономной системе AS35758 (Rachamim Aviel Twito). Это коррелирует с недавней активностью операций, связываемых со структурами, действующими в интересах Ирана в регионе Ближнего Востока.
Трёхфазная схема атаки на Microsoft 365
По данным исследователей, атака развивается в три этапа. На первом этапе из сети Tor и VPN-адресов проводится агрессивное сканирование и password spraying по широкому списку учётных записей. На втором этапе, получив доступ, злоумышленники стабилизируют присутствие, выполняют вход в почтовые ящики и другие облачные сервисы.
Третий этап — эксфильтрация данных: выгрузка содержимого почтовых ящиков, потенциально — документов из OneDrive и SharePoint, а также метаданных, которые могут быть использованы для дальнейших фишинговых и шантажных кампаний.
Иранское вымогательское ПО Pay2Key и BQTLock: новая волна атак
На фоне атак на Microsoft 365 в конце февраля 2026 года под удар попала крупная медицинская организация в США, ставшая жертвой вымогательского ПО Pay2Key. Эта иранская группировка действует по модели ransomware-as-a-service (RaaS) и связывается экспертами с группой Fox Kitten, активной с 2020 года.
По информации Beazley Security и Halcyon, в этом инциденте злоумышленники не осуществляли утечку данных — что отличается от популярной сейчас схемы «double extortion», когда жертву шантажируют и шифрованием, и угрозой публикации украденной информации. Вместо этого основной упор был сделан на быструю деструкцию и шифрование.
Маршрут атаки включал проникновение через ещё не установленный в отчётах вектор доступа, развёртывание законного ПО удалённого доступа (например, TeamViewer), кражу учётных данных для латерального перемещения, отключение Microsoft Defender Antivirus путём имитации наличия стороннего антивируса, препятствия восстановлению, развёртывание шифровальщика, создание вымогательской записки и полную очистку журналов для сокрытия следов.
Отдельно отмечается, что журналы событий очищаются в конце выполнения, а не в начале, что позволяет стирать следы не только предшествующей активности, но и самого процесса шифрования.
После возвращения на арену в 2025–2026 годах Pay2Key изменила условия работы с аффилированными партнёрами, предлагая до 80% выкупа (против 70% ранее) за атаки против «врагов Ирана». Практически одновременно в дикой природе был обнаружен Linux-вариант Pay2Key, описанный исследователем Morphisec Ильёй Кульминым: он конфигурационно управляем, требует root‑прав, сканирует файловую систему и шифрует данные алгоритмом ChaCha20, предварительно ослабляя защиту, останавливая сервисы, отключая SELinux и AppArmor и прописывая задание в cron для переживания перезагрузки.
Параллельно Halcyon сообщила, что администратор вымогательского ПО Sicarii под псевдонимом Uke призвал проиранских операторов переходить на Baqiyat 313 Locker (BQTLock). Эта программа, действующая с заявленной пропалестинской мотивацией, с июля 2025 года атакует организации в ОАЭ, США и Израиле.
Практические меры защиты от атак на Microsoft 365 и вымогательского ПО
Эксперты рекомендуют организациям, использующим Microsoft 365 и другие облачные сервисы, внедрить ряд базовых, но критически важных мер кибербезопасности. Во‑первых, необходимо постоянно мониторить журналы входов и настраивать оповещения о множественных неудачных попытках аутентификации с разных аккаунтов, особенно из анонимных сетей и нестандартных геолокаций.
Во‑вторых, следует использовать условный доступ (Conditional Access), ограничивая возможность входа строго определёнными странами, IP-адресами или VPN‑шлюзами компании. Обязательное включение многофакторной аутентификации (MFA) для всех пользователей остаётся одним из самых эффективных барьеров против password spraying и кражи паролей.
В‑третьих, важно активировать и регулярно выгружать аудиторские журналы, чтобы в случае инцидента иметь возможность провести полноценное расследование, восстановить цепочку атаки и закрыть использованные злоумышленниками дыры.
Наконец, для минимизации последствий атак вымогательского ПО необходимо поддерживать регулярные офлайн‑резервные копии, сегментировать сеть, ограничивать использование удалённого администрирования и оперативно устанавливать обновления безопасности. Сочетание технических мер, обучения сотрудников и постоянного мониторинга позволяет снизить риск как от password spraying-кампаний, так и от более разрушительных атак вымогателей, которым всё активнее придают черты гибридного инструмента между киберпреступностью и государственной саботажной активностью.
