У середині квітня 2026 року виявлено багатоступеневу фішингову кампанію, націлену більш ніж на 35 000 користувачів у 13 000 організацій, яка використовує правдоподібні листи про порушення кодексу поведінки, легітимні поштові сервіси та схему adversary‑in‑the‑middle (AiTM) для викрадення облікових даних і токенів Microsoft, що дає змогу зловмисникам обходити багатофакторну автентифікацію; найбільші ризики мають організації зі США в галузях охорони здоров’я, фінансів, професійних послуг і технологій, яким необхідно переглянути захист пошти, політику доступу та підхід до MFA.
Технічні деталі кампанії та ландшафту поштових загроз
Кампанію спостерігали в період з 14 по 16 квітня 2026 року, і вона була зорієнтована переважно на користувачів у США (92% цілей). Основний вектор — фішинг електронною поштою у форматі корпоративних сповіщень, що відповідає техніці phishing за MITRE ATT&CK T1566.
«Кодекс поведінки» як приманка та соціальна інженерія тиску
Повідомлення оформлені як внутрішні сповіщення про перевірку порушень кодексу поведінки: використовуються відображувані імена на кшталт «Internal Regulatory COC», «Workforce Communications», «Team Conduct Report» і теми на зразок «Internal case log issued under conduct policy» або «Reminder: employer opened a non-compliance case log».
Ключові елементи, що підвищують ефективність атаки:
- відшліфовані HTML‑шаблони з типовою для корпорацій версткою та «заявами про справжність» у верхній частині листа («повідомлення надіслано через авторизований внутрішній канал», «посилання та вкладення перевірені»);
- звинувачувальний тон (нібито інцидент порушення політики) і численні «термінові» заклики до дії з обмеженим часом виконання;
- наявність PDF‑вкладення, яке обіцяє подробиці розслідування та спонукає перейти за посиланням усередині документа.
Таке поєднання експлуатує не лише довіру до «внутрішніх» каналів, а й страх дисциплінарних наслідків, знижуючи критичність сприйняття користувачем.
Ланцюжок атаки: від CAPTCHA до AiTM і крадіжки токенів
Технічно ланцюжок побудований так, щоб одночасно підвищити правдоподібність і ускладнити автоматичне виявлення:
- Надсилання листів із легітимного сервісу доставки пошти. Це дає змогу листам успішно проходити SPF/DKIM/DMARC і не викликати підозр у репутаційних фільтрів.
- Перехід за посиланням із PDF. Переадресація веде через кілька проміжних сторінок і CAPTCHA, формуючи у жертви відчуття «захищеного» ресурсу й відсікаючи частину автоматичних сканерів.
- Фінальний етап — AiTM‑сторінка входу. Завершальний ресурс імітує сторінку входу Microsoft, але реалізує схему adversary‑in‑the‑middle, описану в MITRE ATT&CK T1557: зловмисник виступає «проксі» між користувачем і реальною сторінкою входу.
У результаті зловмисники в режимі реального часу перехоплюють не лише логін і пароль, а й сесійні токени, що дає можливість:
- обходити навіть коректно налаштовану MFA, оскільки токен підтверджує вже пройдену перевірку; і
- захоплювати активні сесії без введення пароля та повторної MFA.
При цьому фінальна сторінка адаптується під пристрій (мобільний чи настільний), що додатково знижує імовірність того, що користувач запідозрить підробку.
Дані Microsoft про поштові загрози за Q1 2026
У розширеному аналізі за січень–березень 2026 року Microsoft фіксує:
- близько 8,3 млрд фішингових загроз електронною поштою за квартал;
- майже 80% атак — посилальні, з домінуванням великих HTML і ZIP як носіїв шкідливих завантажень або фішингових форм;
- основна мета атак — викрадення облікових даних; частка доставки зловмисного ПЗ знижується до 5–6% наприкінці кварталу;
- потужне зростання QR‑фішингу: із 7,6 млн атак у січні до 18,7 млн у березні (зростання на 146%), зокрема впровадження QR‑кодів прямо в тіло листа;
- коливання, але високий загалом обсяг атак типу business email compromise (BEC) — 10,7 млн кампаній за квартал, з піком понад 4 млн у березні 2026 року.
Зміщення пріоритетів зі зловмисного ПЗ на викрадення облікових даних ще раз підкреслює: головним активом зловмисників тепер є ідентичність і токени, а не зараження робочих станцій.
Контекст загроз: PhaaS‑платформи та ухилення від «радарів»
PhaaS і зміна інфраструктури Tycoon 2FA
Microsoft відзначає, що інфраструктура кінцевих фішингових сторінок кампанії перетинається одразу з кількома платформами «phishing as a service» (PhaaS): Tycoon 2FA, Kratos (раніше Sneaky 2FA) і EvilTokens. Це відповідає техніці MITRE ATT&CK T1583 Acquire Infrastructure, де оренда та повторне використання інфраструктури мінімізують витрати зловмисників.
Після скоординованої операції зі зриву роботи Tycoon 2FA в березні 2026 року оператори сервісу відмовилися від використання Cloudflare й розподілили свої домени по інших хостинг‑платформах, підбираючи аналоги з порівнянними механізмами протианалізу та захисту від блокувань. Це свідчить про таке:
- оператори PhaaS мають зріле управління інфраструктурою й готові швидко мігрувати під тиском захисників;
- одна й та сама фішингова кампанія може спиратися одразу на кілька PhaaS, підвищуючи живучість і ускладнюючи блокування за доменними та хостинговими ознаками.
Зловживання Amazon SES як довіреним транспортом
Паралельно Microsoft і Kaspersky фіксують зростання фішингових і BEC‑кампаній, які використовують Amazon Simple Email Service (SES) для доставки. Ключовий елемент атаки — компрометація або витік AWS access keys для доступу до SES.
Коли зловмисник отримує такий ключ, він:
- розсилає масовий фішинг із домена та IP‑адрес, яким уже довіряють користувачі та фільтри;
- проходить SPF, DKIM і DMARC як «законний» відправник;
- уникає витрат на створення та «прогрів» власної поштової інфраструктури.
За оцінкою Kaspersky, «підступність» подібних атак саме в тому, що зовні вони не відрізняються від законного трафіку: домени й IP не виглядають підозріло, а посилання ведуть на правдоподібні сторінки входу з викраденням облікових даних.
Оцінка впливу
У розглянутій кампанії під удар потрапили насамперед організації з таких галузей:
- охорона здоров’я і life sciences (19% цілей);
- фінансові послуги (18%);
- професійні послуги (11%);
- технології та програмне забезпечення (11%).
Ключова особливість ризику — викрадення токенів і обхід MFA. Це створює низку наслідків:
- Компрометація ділового листування та платіжних ланцюжків. Маючи доступ до пошти та внутрішніх систем, зловмисники можуть ініціювати або нарощувати BEC‑схеми, змінюючи платіжні реквізити, підміняючи документи й ведучи комунікацію від імені керівництва.
- Ескалація привілеїв через хмарні сервіси. У разі компрометації облікового запису з адміністративними правами можливі зміни конфігурації безпеки, створення нових облікових записів і постійних точок присутності.
- Ризики для конфіденційних даних. Доступ до пошти, сховищ документів і облікових систем у галузях охорони здоров’я та фінансів веде до потенційного витоку чутливих, регуляторно значущих даних.
- Підрив довіри до MFA. За успішних AiTM‑атак бізнес може помилково зробити висновок, що «MFA не працює», тоді як проблема полягає у використанні методів, вразливих до перехоплення токена, та відсутності додаткових перевірок контексту сесії.
Практичні рекомендації щодо захисту
1. Посилення автентифікації та захисту токенів
- Переходити на методи MFA, стійкі до фішингу (FIDO2‑ключі, апаратні токени, безпарольні рішення), за можливості обмежуючи використання одноразових кодів і push‑підтверджень.
- Упровадити суворі політики умовного доступу: заборону застарілих протоколів, вимогу керованих пристроїв і відповідності політиці під час доступу до критично важливих застосунків.
- Обмежити час життя сесійних токенів для високоризикових застосунків і ввімкнути механізми відкликання токенів у разі підозрілої активності.
2. Захист пошти та робота з контентом листів
- Налаштувати правила високого пріоритету для листів:
- із темами, пов’язаними з кодексом поведінки, дисциплінарними заходами або «internal case log»,
- які начебто надходять від HR/Compliance‑підрозділів, але надіслані через зовнішні сервіси доставки.
- Заборонити або обмежити автоматичне відкриття вкладених PDF, що містять зовнішні посилання; увімкнути превентивне сканування таких документів.
- Використовувати функції переписування посилань і аналізу цільових сторінок, приділяючи особливу увагу ланцюжкам із кількома переадресаціями та CAPTCHA.
- Для QR‑кодів у листах — реалізувати попередній аналіз цільового URL перед перенаправленням користувача.
3. Моніторинг і пошук ознак компрометації
- Відстежувати аномалії входу:
- входи з нових країн або регіонів невдовзі після отримання «дисциплінарних» листів,
- незвичні шаблони пристроїв (наприклад, перехід з мобільного на настільний або навпаки без очевидної причини).
- Налаштувати сповіщення про масові збої MFA або численні спроби входу для одного облікового запису.
- Проводити регулярний threat hunting за індикаторами фішингових сторінок AiTM (нестандартні домени, повторювані HTML‑шаблони входу, характерні заголовки відповідей), спираючись на відомі TTP з опису AiTM‑техніки.
4. Контроль доступу до Amazon SES та інших поштових сервісів
- Провести інвентаризацію та ротацію AWS access keys, що використовуються для Amazon SES; увімкнути моніторинг аномальної активності надсилання.
- Мінімізувати права ключів (принцип найменших привілеїв) і застосовувати окремі ключі для різних застосунків.
- Інтегрувати сигнали про розсилку з Amazon SES у системи кореляції подій (SIEM), щоб відрізняти штатну розсилку від неочікуваної масової активності.
Головний висновок для організацій — розглядати фішингові кампанії електронною поштою з AiTM і викраденням токенів як загрозу ідентичності, а не просто як «шкідливий спам», і найближчим часом переглянути політику автентифікації, поштову фільтрацію та моніторинг активності так, щоб поєднання стійких до фішингу методів MFA, умовного доступу й контролю за сесійними токенами стало стандартом захисту, а не додатковою опцією.
