СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

Фишинговая кампания использует OAuth-код устройства Microsoft

Обнаружена новая фишинговая кампания, в которой злоумышленники эксплуатируют легитимный механизм аутентификации на основе кода устройства (device code) Microsoft. Атака сочетает реальный OAuth-поток и поддельные страницы, размещённые через Cloudflare (workers.dev), чтобы обманом заставить пользователей передать коды подтверждения и предоставить доступ к ресурсам, например к Azure CLI.

Как работает атака

  • Жертвам рассылают фишинговые письма с URL, ведущими на домен workers.dev. В URL присутствует параметр URI, имитирующий правдоподобный контекст сообщения для повышения доверия.
  • Фишинговая страница маскируется под страницу загрузки документа Adobe и просит пользователя «подтвердить свою личность», введя код проверки (device code).
  • Кнопка «Продолжить к Microsoft» перенаправляет на реальную страницу аутентификации Microsoft: login.microsoftonline.com/common/oauth2/deviceauth. Именно здесь пользователь вводит device code.
  • Атакующие через свой Backend выполняют POST-запросы к конечной точке устройства Microsoft, чтобы получать и подтверждать коды. Для управления циклом аутентификации создаётся идентификатор сеанса и выполняется непрерывное опрашивание для получения новых кодов, поскольку исходные коды истекают примерно через десять минут.
  • Важная деталь: фишинговые URL содержат адрес электронной почты отправителя, что, по-видимому, намеренно сделано для повышения доверия и целенаправленности.
  • После ввода кода пользователь видит страницу подтверждения аутентификации с названием приложения и местоположением запроса — среди целевых приложений отмечены такие, как Azure CLI, что даёт успешно аутентифицированным злоумышленникам высокий уровень доступа.

Ключевые индикаторы и особенности кампании

  • Использование легальной device code flow (OAuth) в злонамеренных целях.
  • Размещение фишинговых страниц на платформе Cloudflare workers.dev.
  • Включение в URL-адрес параметров, содержащих адрес электронной почты отправителя.
  • Непрерывное опрашивание (polling) device code endpoint для обхода ограничения по сроку жизни кодов (~10 минут).
  • Целевой доступ к приложениям с расширенными правами, например Azure CLI.

Стратегия обнаружения

«First-Time Device Code Auth — No Prior History hunt-2025-043.»

Предложенная методология детектирования — First-Time Device Code Auth — No Prior History hunt-2025-043. Суть подхода:

  • Анализировать журналы аутентификации пользователей за период 30 дней.
  • Идентифицировать первое использование device code-аутентификации для каждого пользователя (то есть отсутствие предыдущей истории использования этой схемы).
  • Фокусироваться исключительно на успешных аутентификациях — такие события рассматриваются как высоконадёжные индикаторы потенциального компромета.

Практические рекомендации для SOC и администраторов

  • Внедрить и настроить детект на базе описанной hunt-методологии: поиск успешных device code-аутентификаций без предшествующей истории за 30 дней.
  • Мониторить источники трафика и IP-адреса, с которых выполняются device code-запросы; сопоставлять с обычной геопозицией и поведенческими профилями пользователей.
  • Идентифицировав подозрительную аутентификацию — немедленно отозвать активные токены и сессии, потребовать повторную аутентификацию и, при необходимости, смену пароля и усиленную проверку безопасности для затронутого аккаунта.
  • Ограничить или контролировать использование device code flow в организации через Conditional Access и политики доступа, особенно для приложений с высоким уровнем привилегий (например, Azure CLI).
  • Проводить обучение пользователей: внимательнее относиться к письмам с внешними ссылками, проверять домен и URL, не вводить коды подтверждения по ссылкам из писем.

Вывод

Кампания демонстрирует, как злоумышленники комбинируют легитимные протоколы (OAuth device code flow) и инфраструктуру общих платформ (workers.dev) для повышения эффективности фишинга. Аналитика на основе поведения — в частности, поиск первого использования device code-аутентификации у пользователей — даёт SOC-инструментам возможность выделять высоконадёжные подозрительные события и оперативно реагировать. Внедрение соответствующих детектов и ограничений на уровне политик доступа поможет снизить риск успешных компрометаций критичных сервисов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: