В последние годы безопасность учетных записей в облачных сервисах стала одной из самых актуальных тем в сфере информационной безопасности. Особенно в центре внимания находится Microsoft 365 — платформа, которая объединяет инструменты для работы, обмена информацией и хранения данных. В 2025 году специалисты по кибербезопасности выявили новую волну атак, в ходе которых злоумышленники активно используют поддельные OAuth-приложения вместе с мощным фишинговым набором Tycoon для захвата персональных данных и обхода многофакторной аутентификации (MFA). Это позволяет им получить несанкционированный доступ к корпоративным и личным аккаунтам пользователей Microsoft 365 и существенно причинить ущерб как компаниям, так и отдельным лицам. Механизм атаки строится на том, что злоумышленники создают поддельные приложения OAuth, маскирующиеся под известные корпоративные сервисы, включая RingCentral, SharePoint, Adobe и даже DocuSign.
Такие приложения отображаются пользователям как официальные запросы доступа, что значительно снижает подозрения. Важно отметить, что среди этих подражателей есть приложение с названием «iLSMART», которое имитирует сервис ILSMart — легитимный маркетплейс для авиационной, морской и оборонной отраслей. Благодаря этой имитации жертвы меньше сомневаются в легитимности запроса и с большей вероятностью предоставляют разрешения. Опасность данной схемы в том, что злоумышленники не ограничиваются только простым фишингом. Они применяют продвинутые техники атак типа «человек посередине» (Adversary-in-the-Middle, AiTM), используя платформу Tycoon Phishing-as-a-Service.
Эта технология позволяет не просто украсть учетные данные, но и перехватывать многофакторные коды подтверждения, что значительно усложняет защиту. Даже если пользователь отказался предоставлять доступ приложению, он всё равно может попасть на настраиваемую CAPTCHA и затем на страницу поддельного входа в Microsoft. Таким образом, злоумышленники воздействуют на нескольких этапах, повышая вероятность успешного взлома. Распространение подобных атак происходит через тщательно спланированные фишинговые кампании. Электронные письма, как правило, отправляются с уже скомпрометированных аккаунтов, что увеличивает доверие получателей.
В письмах мошенники выдают ссылки за запросы на получение коммерческих предложений или для обсуждения бизнес-контрактов, что характерно для рабочих сообщений. При нажатии на ссылку жертва попадает на страницу с поддельным запросом OAuth на разрешения, после чего начинается цепочка AiTM-фишинга. В 2025 году было зафиксировано свыше 50 различных поддельных приложений, используемых в этих кампаниях, а количество целевых аккаунтов Microsoft 365 превысило 3000 в более чем 900 корпоративных средах. Масштаб проблемы показывает, насколько угроза систематична и хорошо организована. Эксперты прогнозируют, что такие методы будут только совершенствоваться и расширяться, поскольку злоумышленники активно разрабатывают обходные пути для новых защитных механизмов.
Для того чтобы противостоять такой угрозе, корпорация Microsoft объявила о развитии причины безопасности, которые включают блокировку протоколов устаревшей аутентификации и усиление требований к административному согласию при предоставлении доступа сторонним приложениям. Ожидается, что обновления будут внедрены до августа 2025 года, что сможет существенно затруднить злоумышленникам использование описанного вектор атаки. Однако помимо OAuth-фишинга Tycoon Kit используется и в других кампаниях, где вредоносные рассылки маскируются под официальные уведомления, например, такие как платежные квитанции. В таких случаях атакующие используют сервисы массовой рассылки, например Twilio SendGrid, чтобы доставлять свои сообщения с большей вероятностью обхода спам-фильтров и повышения доверия пользователей. Вредоносные PDF-файлы, прикрепленные к таким письмам, замаскированы под счета или контракты и содержат ссылки на установку удаленного программного обеспечения для мониторинга и управления (RMM), что может служить для последующих атак.
Эксперты отмечают, что подобный подход с использованием RMM-инструментов популярен среди операторов программ-вымогателей, поскольку он позволяет злоумышленникам быстро получить постоянный доступ к сети организации и расширить свои возможности для нанесения ущерба. В практическом плане это представляет собой комплексную и мультиэтапную атаку, нацеленную на проникновение, закрепление и последующую эксплуатацию уязвимых мест в инфраструктуре. Учитывая все вышеописанное, защита аккаунтов Microsoft 365 требует комплексного подхода. Особенно важно внедрять современные методы многофакторной аутентификации, следует внимательно анализировать запрашиваемые разрешения OAuth-приложений, не предоставлять доступ сомнительным или незнакомым приложениям и обучать сотрудников принципам информационной безопасности и распознаванию фишинговых писем. Также регулярное обновление всех платформ и программного обеспечения способствует снижению риска успешных атак.
Современные угрозы, связанные с фишингом OAuth-приложений и эксплойтом возможностей Tycoon Kit, демонстрируют, что злоумышленники стремятся использовать человеческий фактор и технологические уязвимости в комплексе, чтобы обойти даже самые продвинутые системы защиты. Это требует от специалистов по кибербезопасности и рядовых пользователей повышенной бдительности, адаптации новых защитных технологий и понимания современных тактик атак. Таким образом, угрозы, построенные на использовании поддельных OAuth-приложений и платформы Tycoon, представляют значительную опасность для экосистемы Microsoft 365 и в целом для корпоративных и персональных данных в условиях растущей цифровизации. Эффективная борьба с такими атаками будет возможна только при комплексном соблюдении лучших практик безопасности, развитии образовательных программ и непрерывном совершенствовании инструментов обнаружения и реагирования.
