ロシアのハッカーがOAuth 2.0を悪用してMicrosoft 365アカウントをハッキング

ロシアのハッカーは、正当なOAuth 2.0認証ワークフローを悪用してMicrosoft 365アカウントを乗っ取っています。サイバーセキュリティの分野は時とともに進化しており、サイバー攻撃者はさまざまな手段を試みて犠牲者を狙っています。

最近、サイバーセキュリティ会社のVolexityが、2025年3月以来続いている一連のサイバー攻撃を発見し報告しました。

ロシアのハッカーがウクライナの同盟国を狙ってMicrosoft 365アカウントをハッキング

追跡されている2人のロシアの脅威者、UTA0352とUTA0355は、主にウクライナおよび人権に関連する個人のMicrosoft 365アカウントを狙い、非常にターゲットを絞ったソーシャルエンジニアリング戦術を使用しています。

さて、ロシアのハッカーがどのようにして犠牲者を罠に引き込むことができたのか不思議に思っていることでしょう。サイバー攻撃者は最初に自分たちをヨーロッパの公務員として偽装したり、ハッキングされたウクライナ政府のアカウントを使用して、WhatsAppやSignalなどのメッセージアプリを通じて犠牲者に連絡します。 画像: Volexity

ハッカーが犠牲者を疑うことなく悪意のあるリンクをクリックさせる

ロシアのハッカーは、Microsoftのインフラストラクチャ上にホストされた悪意のあるリンクをクリックさせたり、OAuth認証コードを共有させたりします。これらのコードは60日間有効で、犠牲者にメールやその他のMicrosoft 365リソースへのアクセスを許可します。 画像: Volexity Volexityのセキュリティ研究者は、「 このコードはアドレスバーのURIの一部としても表示されることに注意する必要があります。Visual Studio Codeは、このコードを抽出して共有しやすくするために設定されているようですが、他のほとんどのインスタンスは単に空白のページに導くだけです。 」と述べています。

場合によっては、ロシアのハッカーが犠牲者のMicrosoft Entra IDに新しいデバイスを登録し、二要素認証（2FA）を回避します。彼らは、SharePointインスタンスにアクセスするふりをして、ユーザーに偽の2FAリクエストを承認させます。 画像: Volexity

犠牲者は疑うことはほとんどない

ロシアのハッカーがMicrosoftの自社インフラを使用しているため、犠牲者が不正行為を疑うのは非常に難しいです。これらの攻撃は従来のフィッシングとはかなり異なります。攻撃者はプロキシネットワークを使用して犠牲者の位置を模倣し、犠牲者が何も疑わないようにします。

盗まれたOAuthコードは、ハッカーがメールを読み、ファイルにアクセスし、不正な侵入を維持するための長期的なアクセスを可能にします。犠牲者がパスワードを変更しても、これが可能であることに注意する価値があります。

Volexityはその報告書で、「 Volexityがレビューしたログでは、攻撃者とやり取りした直後に初期デバイス登録が成功しました。次の日にメールデータへのアクセスが発生し、その時にUTA0355が彼らの2FAリクエストが承認される状況を作り出していました。 」と述べています。

とはいえ、これは攻撃者がOAuth認証ワークフローを悪用する初めての事例ではありません。最近のいくつかの報告では、詐欺師がGoogle OAuthを悪用してユーザーに複数のフィッシングメールを送信していることが強調されています。