Российские хакеры используют OAuth 2.0 для взлома аккаунтов Microsoft 365

Российские угрозы используют Microsoft OAuth для взлома аккаунтов 365 Российские хакеры использовали легитимные рабочие процессы аутентификации OAuth 2.0 для захвата аккаунтов Microsoft 365. Поскольку пространство кибербезопасности со временем развивается, кибератакующие пытаются использовать различные меры для нацеливания на своих жертв.

Недавно компания по кибербезопасности Volexity обнаружила и сообщила о серии продолжающихся кибератак с марта 2025 года.

Российские хакеры нацеливаются на союзников Украины, взламывая их аккаунты Microsoft 365

Два российских угрозы, отслеживаемые как UTA0352 и UTA0355, в первую очередь нацеливаются на аккаунты Microsoft 365 лиц, связанных с Украиной и правами человека, используя высоко нацеленные тактики социального инжиниринга.

Теперь вы, должно быть, задаетесь вопросом, как российским хакерам удалось заманить жертву в их ловушку, верно? Что ж, кибератакующие сначала выдают себя за европейских чиновников или используют взломанные аккаунты украинского правительства, чтобы связаться с жертвами через текстовые приложения, такие как WhatsApp и Signal. Volexity-UTA0352-Signal-and-WhatsApp-Messages-BG-NATO-UA Изображение: Volexity

Хакеры заманивают жертв кликать на вредоносные ссылки без подозрений

Российские хакеры заманивают цели кликать на вредоносные ссылки, размещенные на инфраструктуре Microsoft, или делиться кодами авторизации OAuth. Действительные в течение 60 дней, эти коды предоставляют жертвам доступ к их электронной почте и другим ресурсам Microsoft 365. volexity-uta0355-Ukraine-Govt-Email-Phish Изображение: Volexity Исследователи безопасности из Volexity отмечают: “ Следует отметить, что этот код также появился как часть URI в адресной строке. Visual Studio Code, похоже, был настроен для упрощения извлечения и обмена этим кодом, в то время как большинство других случаев просто приводили к пустым страницам. ”

В некоторых случаях российские хакеры регистрируют новые устройства в Microsoft Entra ID жертвы, обходя двухфакторную аутентификацию (2FA). Они обманывают пользователей, заставляя их одобрять поддельные запросы 2FA под предлогом доступа к экземпляру SharePoint. Volexity-uta0365-EVS-MFA-Romania-Spoof-1 Изображение: Volexity

Жертвы вряд ли заподозрят что-то неладное

Поскольку российские хакеры использовали собственную инфраструктуру Microsoft, жертвам довольно трудно заподозрить какие-либо махинации. Не говоря уже о том, что эти атаки довольно отличаются от традиционного фишинга. Атакующие используют прокси-сети, чтобы имитировать местоположение жертвы, обеспечивая, чтобы жертвы не подозревали о чем-то неправильном.

Украденные коды OAuth позволяют продленный доступ, который позволяет хакерам читать электронные письма, получать доступ к файлам и поддерживать несанкционированный вход. Стоит отметить, что все это возможно даже если жертвы изменят свои пароли.

Volexity в своем отчете отмечает: “ В журналах, рассмотренных Volexity, первоначальная регистрация устройства была успешной вскоре после взаимодействия с атакующим. Доступ к данным электронной почты произошел на следующий день, когда UTA0355 создал ситуацию, при которой их запрос 2FA был одобрен. ”

Все это говорит о том, что это не первый случай злоупотребления атакующими рабочими процессами аутентификации OAuth. Некоторые недавние отчеты подчеркивают, что мошенники даже злоупотребляют Google OAuth для отправки множества фишинговых писем пользователям.