Хакеры заставили Cisco атаковать собственных клиентов

Злоумышленники в сфере кибербезопасности разработали метод, позволяющий использовать механизмы защиты Cisco в ущерб пользователям. Эксперты из Raven обнаружили кампанию, направленную на похищение учетных данных, в которой киберпреступники научились манипулировать технологией Cisco Safe Links. Этот инструмент, интегрированный в систему фильтрации электронной почты, заменяет потенциально опасные ссылки, перенаправляя их через инфраструктуру Cisco для последующего анализа.

Суть атаки заключается в том, что пользователи и системы безопасности по умолчанию доверяют домену «secure-web.cisco.com», полагая его безопасным. Именно это доверие было использовано в качестве оружия: злоумышленники начали маскироваться под ссылки с этим префиксом, чтобы обойти фильтры и ввести в заблуждение пользователей.

Исследователи Raven зафиксировали несколько способов, с помощью которых злоумышленники создают легитимные Safe Links, пригодные для осуществления атак. Наиболее распространенным является захват учетных записей внутри компаний, использующих защиту Cisco, и отправка вредоносных писем самим себе, после чего сгенерированные ссылки используются в целевых кампаниях. Также наблюдается использование сторонних сервисов, отправляющих письма через инфраструктуру Cisco, и повторное использование ранее созданных и действующих Safe Links.

В одном из последних примеров было обнаружено письмо с просьбой просмотреть документ, замаскированное под сервис электронных подписей. Письмо было выполнено профессионально, с использованием фирменного стиля и деловой лексики. Стандартные почтовые фильтры не сработали, поскольку видели адрес в домене Cisco. Только детальный анализ, учитывающий не только технические признаки, но и контекст деловой переписки, позволил выявить подозрительные параметры в URL-адресе и аномалии в бизнес-процессах.

Опасность заключается в том, что такие атаки выглядят безупречно с технической точки зрения. Угроза скрыта в поведении и контексте, а не в традиционных индикаторах, таких как поддельные домены. Большинство систем защиты ориентированы на репутацию адресов, поэтому домены Cisco пропускаются автоматически. Это свидетельствует о качественном изменении в тактике киберпреступников: они все чаще используют не уязвимости в коде, а доверие к известным брендам и стандартным процедурам.

Результаты исследования подчеркивают, что традиционные методы, такие как сигнатуры и базы репутации, неэффективны против атак, маскирующихся под законные бизнес-операции. Возрастает важность использования контекстно-ориентированных систем на базе искусственного интеллекта, способных выявлять поведенческие аномалии и проверять уместность писем в контексте деловой логики. Без таких решений компании рискуют пропустить кампании, которые выглядят совершенно легитимными, но на самом деле ведут к краже учетных данных.