Des hackers russes exploitent OAuth 2.0 pour pirater des comptes Microsoft 365

Des hackers russes ont exploité des flux d’authentification OAuth 2.0 légitimes pour détourner des comptes Microsoft 365. Alors que l’espace de cybersécurité évolue avec le temps, les cyberattaquants essaient différentes mesures pour cibler leurs victimes.

Récemment, une entreprise de cybersécurité, Volexity, a découvert et signalé une série de cyberattaques en cours depuis mars 2025.

Les hackers russes ciblent les alliés de l’Ukraine en piratant leurs comptes Microsoft 365

Deux acteurs de la menace russe, suivis sous les noms UTA0352 et UTA0355, ciblent principalement les comptes Microsoft 365 d’individus liés à l’Ukraine et aux droits de l’homme, en utilisant des tactiques d’ingénierie sociale hautement ciblées.

Maintenant, vous devez vous demander comment les hackers russes ont pu attirer la victime dans leur piège, n’est-ce pas ? Eh bien, les cyberattaquants se font d’abord passer pour des fonctionnaires européens ou utilisent des comptes gouvernementaux ukrainiens piratés pour contacter les victimes via des applications de messagerie comme WhatsApp et Signal. Image : Volexity

Les hackers attirent les victimes à cliquer sur des liens malveillants sans aucun soupçon

Les hackers russes attirent les cibles à cliquer sur des liens malveillants hébergés sur l’infrastructure de Microsoft ou à partager des codes d’autorisation OAuth. Valides pendant 60 jours, ces codes donnent aux victimes accès à leur e-mail et à d’autres ressources Microsoft 365. Image : Volexity Les chercheurs en sécurité de Volexity notent, “ Il convient de noter que ce code est également apparu comme faisant partie de l’URI dans la barre d’adresse. Visual Studio Code semble avoir été configuré pour faciliter l’extraction et le partage de ce code, tandis que la plupart des autres instances conduiraient simplement à des pages vides. “

Dans certains cas, les hackers russes enregistrent de nouveaux appareils sur l’ID Microsoft Entra de la victime, contournant l’authentification à deux facteurs (2FA). Ils trompent les utilisateurs en approuvant de fausses demandes 2FA sous le prétexte d’accéder à une instance SharePoint. Image : Volexity

Les victimes sont peu susceptibles de soupçonner

Puisque les hackers russes utilisent l’infrastructure même de Microsoft, il est assez difficile pour les victimes de soupçonner une mauvaise action. Sans parler du fait que ces attaques sont assez différentes du phishing traditionnel. Les attaquants utilisent des réseaux proxy pour imiter la localisation de la victime, s’assurant que les victimes ne soupçonnent rien de mal.

Les codes OAuth volés permettent un accès prolongé qui permet aux hackers de lire des e-mails, d’accéder à des fichiers et de maintenir une entrée non autorisée. Il convient de noter que tout cela est possible même si les victimes changent leurs mots de passe.

Volexity, dans son rapport, note, “ Dans les journaux examinés par Volexity, l’enregistrement initial de l’appareil a été réussi peu après l’interaction avec l’attaquant. L’accès aux données e-mail a eu lieu le lendemain, moment où UTA0355 avait orchestré une situation où leur demande 2FA serait approuvée. “

Cela dit, ce n’est pas la première fois que des attaquants abusent des flux d’authentification OAuth. Certains rapports récents ont souligné que des escrocs abusent même de Google OAuth pour envoyer de multiples e-mails de phishing aux utilisateurs.