🔎 Кіберзагроза

Зловживання сповіщеннями Azure Monitor у фішингових кампаніях

📅 21 березня 2026 ·🕐 14:09 · 🔐 bleepingcomputer.com · 📖 ~4 хв читання

Зловмисники використовують легітимні сповіщення Microsoft Azure Monitor для розсилки фішингових електронних листів. Ці повідомлення імітують попередження від команди безпеки Microsoft про несанкціоновані списання коштів, спонукаючи жертв телефонувати на шахрайські номери підтримки.

Ця кампанія є особливо небезпечною, оскільки використовує легітимні сервіси Microsoft для розсилки фішингових повідомлень, що ускладнює їх виявлення традиційними засобами захисту електронної пошти та підвищує рівень довіри з боку жертв.

Що сталось

Остання фішингова кампанія демонструє новий рівень витонченості, експлуатуючи функціонал сповіщень Microsoft Azure Monitor. Замість традиційних методів, зловмисники створюють облікові записи Azure і налаштовують легітимні сповіщення (наприклад, про перевищення бюджету або проблеми зі станом ресурсів) таким чином, щоб вони містили фішинговий контент. Ці сповіщення надходять з офіційних доменів Microsoft (наприклад, [email protected]), що значно підвищує їхню правдоподібність і дозволяє обходити стандартні фільтри спаму та фішингу.

Отримані електронні листи містять фальшиві попередження про несанкціоновані транзакції або списання коштів з облікового запису користувача. Головна мета — спонукати жертву негайно зв'язатися з "технічною підтримкою" за вказаним у листі номером телефону. Це є класичним прикладом зворотного фішингу (callback phishing), де замість шкідливого посилання чи вкладення, зловмисники прагнуть встановити прямий контакт з жертвою для подальшої соціальної інженерії.

Технічні деталі

Механізм атаки полягає у використанні легітимної інфраструктури Microsoft. Зловмисники виконують такі кроки:

Створення облікового запису Azure: Шахраї реєструють обліковий запис у Microsoft Azure.
Налаштування сповіщень Azure Monitor: Вони налаштовують правила сповіщень у сервісі Azure Monitor. Ці правила можуть бути пов'язані з будь-якими подіями, що генерують сповіщення, наприклад, перевищення лімітів витрат, зміни в ресурсах або проблеми з безпекою.
Впровадження фішингового контенту: Замість стандартного тексту сповіщення, зловмисники вставляють власне повідомлення, що імітує попередження від Microsoft Security Team. Це повідомлення містить інформацію про "несанкціоновані списання" та номер телефону для зв'язку.
Розсилка: Оскільки сповіщення надсилаються через офіційні сервери Microsoft Azure, вони мають високий рівень довіри та успішно проходять перевірки справжності електронної пошти (SPF, DKIM, DMARC).

Після дзвінка на вказаний номер, жертва потрапляє до шахраїв, які, використовуючи методи соціальної інженерії, намагаються виманити облікові дані, встановити шкідливе програмне забезпечення або отримати віддалений доступ до системи.

Кому загрожує

Ця загроза є актуальною для широкого кола організацій та приватних осіб, які використовують сервіси Microsoft Azure. Особливо вразливими є:

IT-фахівці та адміністратори: Вони часто отримують легітимні сповіщення від Microsoft і можуть бути менш пильними щодо їхнього змісту.
Фінансові відділи: Повідомлення про "несанкціоновані списання" можуть викликати паніку та спонукати до необдуманих дій.
Урядові та корпоративні організації: Будь-яка організація, що активно використовує хмарні рішення Microsoft, є потенційною мішенню.
Користувачі з недостатньою обізнаністю: Особи, які не знайомі з особливостями роботи Azure або принципами кібербезпеки, можуть легко стати жертвами.

Рекомендації

Для мінімізації ризиків від подібних атак, Cyber Index UA рекомендує:

Навчання персоналу: Проводьте регулярні тренінги з кібергігієни, наголошуючи на небезпеці фішингу та соціальної інженерії. Навчіть співробітників критично оцінювати будь-які запити, що стосуються облікових даних, фінансів або віддаленого доступу.
Перевірка інформації: Завжди перевіряйте будь-які попередження про несанкціоновані списання або проблеми з обліковим записом безпосередньо через офіційний портал Azure або за відомими, перевіреними контактними даними Microsoft. Ніколи не телефонуйте за номерами, вказаними в підозрілих електронних листах.
Багатофакторна автентифікація (MFA): Забезпечте використання MFA для всіх облікових записів Azure та інших критично важливих систем. Це значно ускладнить зловмисникам доступ, навіть якщо вони отримають облікові дані.
Моніторинг активності Azure: Регулярно перевіряйте журнали аудиту та активності у вашому середовищі Azure на предмет незвичайних налаштувань сповіщень або створення ресурсів.
Політики безпеки електронної пошти: Хоча ця атака обходить деякі фільтри, продовжуйте використовувати комплексні рішення для захисту електронної пошти, які можуть виявляти аномалії в контенті.
Повідомлення про інциденти: У разі виявлення підозрілих листів, повідомляйте про них до вашого відділу безпеки або до CERT-UA.

🔗 Джерело: BleepingComputer →