СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

Фишинг OAuth Device Code: новая угроза аккаунтам Microsoft 365

Аналитики зафиксировали резкий рост фишинговых кампаний, использующих механизм OAuth Device Authorization Grant для компрометации аккаунтов Microsoft 365. За одну неделю было идентифицировано более 180 фишинговых URL — и это явление представляет собой качественно новую угрозу для корпоративной безопасности.

В чем суть атаки

Атака строится не на прямой краже логинов и паролей, а на манипуляции легитимным процессом авторизации. Жертве показывают фишинговую страницу, замаскированную под допустимую процедуру (например, проверку документов), просят скопировать код пользователя и перейти на указанный URL (например, microsoft.com/devicelogin), где пользователь сознательно или бессознательно завершает процесс авторизации. В результате злоумышленники получают реальные токены доступа — часто без необходимости узнавать пароли.

«Эта техника использует OAuth Device Authorization Grant, позволяя злоумышленникам обходить традиционные методы фишинга учетных данных и напрямую получать токены доступа через взаимодействие с пользователями.»

Почему это особенно опасно

  • Злоумышленники используют доверительный характер легитимных потоков аутентификации, что затрудняет обнаружение.
  • Традиционные индикаторы фишинга часто не срабатывают: страницы маскируются под официальные сервисы и используют зашифрованные каналы.
  • Полученные access и refresh tokens дают возможность поддерживать длительный «постоянный» доступ к аккаунтам, что повышает риск дальнейших утечек данных и финансового мошенничества.
  • Компрометация корпоративной почты может привести к схемам BEC (компрометация деловой электронной почты) и другим атакам на цепочки поставок и клиентов.

Трудности обнаружения в SOCs

SOCs сталкиваются с несколькими специфическими проблемами при детекции таких кампаний:

  • Фишинговые страницы применяют легитимные скрипты и API-вызовы, которые выглядят как нормальный трафик.
  • Шифрование HTTPS скрывает содержимое, поэтому без расшифровки SSL/HTTPS сигнатуры атак остаются невидимыми.
  • Отсутствие очевидных IOC, связанных с классическим фишингом (поддельные формы логина и т. п.), снижает шанс триггера правил детекции.

Ключевые индикаторы компрометации (IOCs)

Аналитики выделяют конкретные признаки, которые помогают вычленить подобные кампании в зашифрованном трафике:

  • API-пути, используемые фишинговыми страницами: /api/device/start, /api/device/status/.
  • Необычные комбинации заголовков HTTP, сопровождающие обращения к перечисленным API.
  • Серии редиректов от фишингового домена на легитимные microsoft-адреса с участием пользовательских device codes.
  • Появление refresh tokens или их обмена в короткие сроки после взаимодействия пользователя с фишинговой страницей.

Рекомендации для организаций и SOCs

Чтобы повысить устойчивость к этой угрозе, организациям рекомендуется:

  • Внедрить и поддерживать механизмы автоматической расшифровки SSL/HTTPS в рамках SOC для возможности анализа содержимого трафика.
  • Настроить мониторинг и корреляцию событий, связанных с API-вызовами к device-эндпоинтам и подозрительными заголовками.
  • Интегрировать threat intelligence в реальном времени и использовать инструменты динамического анализа для быстрого выявления фишинговых страниц и их инфраструктуры.
  • Ограничить использование долгоживущих refresh tokens и обеспечить их ротацию/аннулирование при подозрительной активности.
  • Провести целевое обучение пользователей Microsoft 365: объяснить механизм device code и научить не вводить или не пересылать коды по непроверенным ссылкам.
  • Внедрять многофакторную аутентификацию (MFA) с современными политиками контроля сессий и привязкой к устройствам, где это возможно.

Кому угрожает в первую очередь

Наиболее пострадавшие отрасли — технологии, образование и государственный сектор. Однако нацеливание на Microsoft 365 делает атаку релевантной для любых организаций, активно использующих облачные сервисы Microsoft.

Вывод

Фишинг через OAuth Device Code — это не просто очередной вектор социальной инженерии. Это целенаправленная эксплуатация доверенных потоков авторизации, которая позволяет злоумышленникам получать полноценный доступ к аккаунтам без классической кражи паролей. Видимость таких атак — ключ к защите: автоматическая расшифровка трафика, мониторинг специфичных API-вызовов и обновленные процессы SOC помогут выявлять и нейтрализовать кампании на ранней стадии. Пользователи Microsoft 365 и ИБ‑команды должны учитывать, что злоумышленники все активнее эксплуатируют доверие к легитимным процедурам, а значит — и методы защиты должны развиваться соответственно.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: