23/04/25
С начала марта 2025 года ИБ-специалисты Volexity зафиксировали серию сложных атак на сотрудников НПО и правозащитных структур в Восточной Европе. Целью кампаний стало получение доступа к корпоративным учетным записям Microsoft 365 путём злоупотребления механизмами аутентификации OAuth 2.0 через официальные сервисы Microsoft. Об этом пишет Securitylab.
Злоумышленники использовали нестандартный подход: контакт с жертвами происходил через защищённые мессенджеры Signal и WhatsApp. Под видом сотрудников дипломатических представительств европейских стран мошенники предлагали жертвам принять участие в закрытых видеовстречах, посвящённых вопросам международного взаимодействия. После установления контакта отправлялись ссылки на подлинные страницы входа Microsoft, которые использовали OAuth для генерации кода авторизации.
Хитрость заключалась в том, что одной лишь активации ссылки было недостаточно. Атакующий запрашивал у жертвы вернуть сгенерированный системой код, под предлогом того, что он якобы требуется для подключения к встрече. Получив код, злоумышленник получал доступ к аккаунту жертвы, мог подключить новое устройство к корпоративной инфраструктуре и начать загрузку данных, включая переписку по электронной почте.
В одной из зафиксированных атак использовалась инфраструктура VSCode — после перехода по ссылке пользователь попадал на веб-версию редактора, где отображался запрашиваемый код. Его необходимо было скопировать и передать обратно атакующему, зачастую прямо через мессенджер.
Отдельно была зафиксирована атака, в которой отправка первичного письма осуществлялась со взломанного государственного адреса электронной почты. Сообщение не содержало вредоносных ссылок, а лишь предлагало заинтересованным ответить и подтвердить участие во встрече. После отклика пользователь получал инструкции уже через мессенджер, где ему снова предлагалось перейти по ссылке и отправить полученный код.
Одной из особенностей нового подхода стало использование API регистрации устройств. После получения кода атакующий регистрировал новое устройство в корпоративной системе, а затем запрашивал у пользователя подтверждение двухфакторной аутентификации — якобы для получения доступа к материалам встречи. Такая дополнительная стадия подтверждала контроль над аккаунтом и открывала полный доступ к почтовому ящику.
В последующих действиях, зафиксированных в логах, было видно, что скачивание электронной почты происходило с нового устройства, зарегистрированного ранее, и с IP-адресов прокси-сетей, привязанных к регионам нахождения жертв.
Методика осложнена тем, что все действия происходят через официальную инфраструктуру Microsoft. Ни один этап не использует вредоносные сайты или приложения, что делает обнаружение таких атак крайне затруднительным. Пользователи видят только знакомые домены, что снижает их настороженность и повышает шанс на успех социальной инженерии.
