Современный мир цифровых коммуникаций требует от организаций постоянной бдительности в вопросах кибербезопасности. К сожалению, злоумышленники не дремлют и постоянно ищут уязвимости для реализации своих атак. Одним из последних обнаруженных в 2025 году методов стала массовая фишинговая кампания с использованием функции Direct Send, встроенной в Microsoft 365. Эта кампания охватила более 70 различных организаций, преимущественно из США, демонстрируя высокий уровень организованности и технической грамотности атакующих. В чем же суть этой опасности, как она работает и какие меры помогут защититься от такой угрозы — рассмотрим подробно.
Direct Send — это штатная функция Exchange Online, предназначенная для упрощения отправки электронных сообщений внутренними устройствами и приложениями без необходимости аутентификации, например, принтерами или сканерами факсов. В рамках этой опции письма проходят через специальный сервер (smart host), адрес которого имеет стандартизованный формат, что и делает эту функцию уязвимой для мошенников. Самое опасное здесь — абсолютное отсутствие необходимости вводить учетные данные или ключи доступа. Хакерам достаточно владеть базовой информацией о домене и структуре внутренних email-адресов, которые зачастую легко найти в открытом доступе.Не секрет, что многие организации используют формат адресов вроде имя.
фамилия@компания.сom, а знание базового домена позволяет злоумышленникам применять функцию Direct Send для отправки писем, которые выглядят словно исходящие изнутри компании. Такая почта вызывает меньше подозрений у фильтров безопасности и у самих пользователей, поскольку при внутренней переписке система может даже не задерживать или не маркировать эти сообщения как потенциально вредоносные.Метод атаки прост и в то же время изощрен. В рамках кампании злоумышленники применяли PowerShell для отправки сообщений прямо на smart host, указав в качестве отправителя и получателя один и тот же внутренний адрес.
Письма имели обманчивые темы, например, «New Missed Fax-msg» или «Caller Left VM Message», призванные создать иллюзию срочного делового уведомления. В теле письма содержалась просьба прослушать голосовое сообщение, к которому прикреплялся PDF-файл с QR-кодом. Сканирование такого кода перенаправляло пользователя на фальшивый сайт, созданный для кражи учетных данных Microsoft 365. Именно использование таких социально-инженерных приёмов и внутренняя подделка писем ставят организации перед серьезной угрозой.Уязвимость Direct Send характеризуется тем, что отсутствуют классические механизмы проверки подлинности писем.
Проверки SPF, DKIM и DMARC, которые обычно помогают выявлять подделки, в данной схеме не работают или показывают сбои, но письма по-прежнему проходят фильтры и доставляются во внутренние ящики. В атаках, выявленных специалистами Varonis Threat Labs, наблюдалась отправка сообщений из необычных геолокаций, например, с IP-адресов Украины, что уже само по себе должно вызывать подозрения. Вместе с тем, ничего не указывало на попытки аутентификации — вместо этого фактически происходила подделка исходящего внутреннего сообщения.Для обнаружения таких атак важно внимательно изучать заголовки сообщений. Среди тревожных признаков — наличие внешних IP-адресов в заголовках Received, ошибки в проверках SPF, DMARC, отсутствие DKIM-подписей и несоответствие идентификатора тенанта (X-MS-Exchange-CrossTenant-Id).
Поскольку обычные методы фильтрации иногда безуспешны, необходимо внедрять дополнительные меры контроля, включая анализ поведения пользователей — например, если внутрикорпоративные сообщения отправляются пользователю самому себе с использованием нестандартных инструментов (таких как PowerShell), это может указывать на попытки эксплуатации Direct Send.Однако стоит отметить, что функция Direct Send сама по себе не является уязвимостью или ошибкой Microsoft. Она служит важной цели для обеспечения бесперебойной работы автоматизированных сервисов и приложений внутри компании. Ключ к безопасности лежит в правильной конфигурации политики безопасности и мониторинге трафика. Для борьбы с злоупотреблениями рекомендуется использовать настройки, способные отклонять подобные неподтвержденные сообщения.
Например, в Exchange Admin Center можно включить опцию «Reject Direct Send», которая ограничит отправку электронных писем через Direct Send и повысит уровень безопасности.Также критично внедрить строгую политику DMARC с параметром «p=reject», тем самым отказав во входе неподписанным или не прошедшим проверки сообщениям. В важно использовать политика SPF с фиксированными IP-адресами в записи, что поможет избежать отправки писем от неавторизованных источников. Кроме того, обучение пользователей в области кибербезопасности, особенно в отношении угроз с QR-кодами и подозрительными вложениями, играет немаловажную роль в снижении риска успешных атак.Организации должны рассматривать использование специализированных решений для обнаружения и реагирования на подобные угрозы.
Например, инструменты Varonis обеспечивают 24/7 мониторинг активности в Exchange Online и позволяют выявлять аномалии, даже если сообщения проходят фильтры стандартных средств защиты. Использование таких платформ помогает не только обнаружить инциденты на ранних стадиях, но и предупредить потенциальные утечки данных и компрометации учетных записей.В заключение можно отметить, что злоумышленники постоянно адаптируют методы атаки под существующие технологии, используя логичные и без лишних усилий доступные функции, чтобы обходить защиту. Кампания с использованием Microsoft 365 Direct Send служит ярким примером того, что защита компании требует комплексного подхода — от технических настроек до пользовательского обучения. Организациям необходимо не просто устанавливать средства защиты, а операционно мониторить, анализировать и реагировать на угрозы.
В условиях постоянно меняющегося ландшафта киберугроз важно помнить, что внутренняя почта не всегда безопасна. Администраторы должны внимательно анализировать внешний трафик, даже для писем, которые, судя по заголовкам, исходят изнутри. Грамотная настройка политик безопасности, регулярный аудит и использование современных средств детекции помогут обезопасить компанию от подобных фишинговых кампаний и минимизировать потенциальный ущерб от них.
