Gli hacker russi sfruttano OAuth 2.0 per hackare gli account Microsoft 365

Gli attori della minaccia russa sfruttano l'hack di Microsoft OAuth per 365 account Gli hacker russi hanno sfruttato flussi di autenticazione OAuth 2.0 legittimi per dirottare gli account Microsoft 365. Poiché lo spazio della cybersicurezza si evolve nel tempo, i cyberattaccanti stanno cercando misure diverse per colpire le loro vittime.

Recentemente, un’azienda di cybersicurezza, Volexity, ha scoperto e riportato una serie di cyberattacchi in corso dal marzo 2025.

Gli hacker russi prendono di mira gli alleati dell’Ucraina hackando i loro account Microsoft 365

Due attori della minaccia russa, tracciati come UTA0352 e UTA0355, prendono di mira principalmente gli account Microsoft 365 di individui legati all’Ucraina e ai diritti umani, utilizzando tattiche di ingegneria sociale altamente mirate.

Ora, ti starai chiedendo come gli hacker russi siano riusciti a ingannare la vittima per farla cadere nella loro trappola, giusto? Bene, i cyberattaccanti prima si spacciano per funzionari europei o utilizzano account governativi ucraini compromessi per contattare le vittime tramite app di messaggistica come WhatsApp e Signal. Volexity-UTA0352-Messaggi-Signal-e-WhatsApp-BG-NATO-UA Immagine: Volexity

Gli hacker ingannano le vittime a cliccare su link malevoli senza sospetti

Gli hacker russi attirano i bersagli a cliccare su link malevoli ospitati sull’infrastruttura di Microsoft o a condividere codici di autorizzazione OAuth. Validati per 60 giorni, questi codici concedono alle vittime accesso alla loro email e ad altre risorse Microsoft 365. volexity-uta0355-Email-Phish-Govt-Ucraina Immagine: Volexity I ricercatori di sicurezza di Volexity notano, “ Va notato che questo codice è apparso anche come parte dell’URI nella barra degli indirizzi. Visual Studio Code sembra essere stato impostato per facilitare l’estrazione e la condivisione di questo codice, mentre la maggior parte delle altre istanze porterebbe semplicemente a pagine vuote. ”

In alcuni casi, gli hacker russi registrano nuovi dispositivi all’ID Microsoft Entra della vittima, eludendo l’autenticazione a due fattori (2FA). Ingannano gli utenti facendogli approvare richieste 2FA false sotto le spoglie di accesso a un’istanza di SharePoint. Volexity-uta0365-EVS-MFA-Romania-Spoof-1 Immagine: Volexity

Le vittime sono poco propense a sospettare

Poiché gli hacker russi hanno utilizzato l’infrastruttura di Microsoft, è piuttosto difficile per le vittime sospettare di un gioco scorretto. Per non parlare del fatto che questi attacchi sono piuttosto diversi dal phishing tradizionale. Gli attaccanti utilizzano reti proxy per imitare la posizione della vittima, assicurandosi che le vittime non sospettino nulla di strano.

I codici OAuth rubati consentono un accesso prolungato che consente agli hacker di leggere email, accedere a file e mantenere un accesso non autorizzato. Vale la pena notare che tutto ciò è possibile anche se le vittime cambiano le loro password.

Volexity, nel suo rapporto, nota, “ Nei log esaminati da Volexity, la registrazione iniziale del dispositivo è stata effettuata con successo poco dopo aver interagito con l’attaccante. L’accesso ai dati email è avvenuto il giorno successivo, quando UTA0355 aveva ingegnerizzato una situazione in cui la loro richiesta 2FA sarebbe stata approvata. ”

Detto ciò, questa non è la prima volta che gli attaccanti abusano dei flussi di autenticazione OAuth. Alcuni rapporti recenti hanno evidenziato che i truffatori stanno persino abusando di Google OAuth per inviare molteplici email di phishing agli utenti.