Хакеры используют функцию Microsoft 365 для отправки фишинговых писем

Команда судебной экспертизы Varonis Managed Data Detection and Response (MDDR) обнаружила сложную фишинговую кампанию, которая использует функцию “Direct Send” от Microsoft для подделки внутренних пользователей и отправки фишинговых писем без необходимости компрометации учетной записи.

Согласно исследователям из Varonis, эта кампания, активная с мая 2025 года, нацелилась на более чем 70 организаций — в основном в Соединенных Штатах — злоупотребляя функцией, предназначенной для помощи устройствам, таким как принтеры, отправлять электронные письма без аутентификации. Эта функция теперь манипулируется злоумышленниками для отправки обманчивых писем, которые выглядят так, будто они приходят изнутри организации, не нарушая ни одной учетной записи.

“Простота этой атаки делает ее такой опасной”, — сказал Майкл Соломон, который возглавлял судебный анализ в Varonis. “Вам не нужны учетные данные, вредоносное ПО или даже доступ к целевой среде. Все, что вам нужно, — это публичный IP и базовый скрипт PowerShell.”

Как работает атака

Direct Send — это функция в Microsoft Exchange Online, которая позволяет устройствам и приложениям отправлять электронные письма внутри арендатора Microsoft 365 без аутентификации, используя смарт-хост (например, tenantname.mail.protection.outlook.com). Она была разработана для внутреннего использования и не требует учетных данных для входа.

Это создает возможность для злоумышленников: если они могут определить домен арендатора и угадать действительный адрес электронной почты (обычный формат, такой как [email protected]), они могут отправлять поддельные письма, которые выглядят так, будто исходят изнутри организации, не входя в систему и не касаясь арендатора.

Поскольку эти поддельные сообщения проходят через инфраструктуру Microsoft, они часто обходят фильтры электронной почты, которые полагаются на аутентификацию отправителя, репутацию или внешние сигналы маршрутизации. В результате письма выглядят как законные внутренние сообщения.

PowerShell упрощает задачу

Для запуска атак хакеры использовали простые скрипты PowerShell для отправки поддельных писем через Direct Send. Эти сообщения имитируют законные внутренние уведомления, часто с темами, такими как “ Новое пропущенное факсовое сообщение “ или “ Звонящий оставил сообщение на автоответчике “. Письма обычно содержали PDF-вложения, замаскированные под голосовые сообщения. Эти PDF-файлы содержат QR-коды, которые перенаправляют пользователей на сайты для сбора учетных данных.

Команда судебной экспертизы MDDR Varonis связала несколько случаев на основе сходства в IP-адресах отправителей, содержании сообщений и поведении. Один реальный пример включал активность электронной почты, исходящую из украинского IP-адреса без каких-либо попыток входа — необычный шаблон, указывающий на злоупотребление Direct Send.

Почему эти письма избегают обнаружения

Несколько факторов позволяют этим сообщениям избегать традиционных средств безопасности:

• Для отправки через Direct Send не требуется аутентификация.
• Письма выглядят так, будто исходят изнутри организации.
• Они не проходят проверки SPF, DKIM и DMARC, но могут быть доставлены.
• Фильтрация Microsoft может рассматривать их как внутренние сообщения.

Обнаружение этих атак включает тщательную проверку заголовков электронной почты на необычные признаки, такие как взаимодействие внешних IP-адресов со смарт-хостом и неудачные проверки аутентификации. Другие поведенческие красные флаги включают письма, отправленные с собственных адресов, сообщения, отправленные с использованием PowerShell, и активность электронной почты, исходящую из неожиданных или иностранных местоположений.

Защитные меры

Чтобы защититься от этой угрозы, Varonis рекомендует организациям предпринять следующие шаги:

• Включить “Отклонить Direct Send” в Центре администрирования Exchange.
• Реализовать строгую политику DMARC (например, p=reject).
• Отмечать или помещать в карантин неаутентифицированные внутренние сообщения.
• Принудительно применять настройки “SPF hardfail” в Exchange Online Protection (EOP).
• Использовать политики против подделки.
• Обучать сотрудников фишингу и атакам на основе QR-кодов (также известным как “quishing”).
• Мониторить необычное поведение при отправке электронной почты, такое как сообщения, адресованные самим себе, и неожиданное использование IP.
• Принудительно применять статический IP-адрес в записи SPF, чтобы предотвратить злоупотребление отправкой — рекомендуемая, хотя и необязательная, лучшая практика от Microsoft.

“Direct Send — это мощная функция, но в неправильных руках она становится опасным вектором атаки. Если вы не следите за поддельными внутренними письмами или не включили эти защиты, сейчас самое время. Не думайте, что внутренние сообщения безопасны”, — заключил Varonis.