Хакеры применяют механизмы OAuth 2.0, чтобы проникать в корпоративные аккаунты Microsoft 365
Изображение: recraft
Группа злоумышленников, которая, по оценке экспертов, может иметь отношение к России, использует легальные процессы аутентификации OAuth 2.0 в попытках проникновения в корпоративные аккаунты Microsoft 365. По наблюдениям исследователей компании Volexity, атаки были нацелены на сотрудников организаций, имеющих отношение к правозащитной сфере и Украине. При этом конкретных доказательств о происхождении групп пока не представлено.
Как подчёркивают в Volexity, схема взаимодействия начинается с того, что злоумышленники выдают себя за официальных лиц из европейских структур или украинских представителей. Контакт с потенциальными жертвами устанавливается через популярные мессенджеры Signal и WhatsApp*. После установления связи цели приглашаются на закрытую видеовстречу, и в этот момент им предлагается перейти по ссылке или предоставить код авторизации Microsoft — якобы для подключения к конференции.
Специалисты компании сообщают, что в одном из зафиксированных случаев сообщение поступило с ранее скомпрометированного аккаунта, принадлежавшего украинскому правительственному ведомству. Подобная подмена источника сообщения повышает доверие и облегчает реализацию фишинга. В некоторых вариантах сценария жертве отправляется PDF-файл с описанием, как присоединиться к видеозвонку, где также содержится вредоносный адрес.
Как указывается в новом отчёте Volexity, пользователь, пройдя по указанной ссылке, попадает в браузерную версию Visual Studio Code по адресу insiders.vscode.dev. Эксперты поясняют, что после прохождения аутентификации в адресной строке браузера отображается код, который выглядит как часть обычного процесса подключения. Этот код может использоваться злоумышленниками для генерации токена, дающего доступ к данным и сервисам от имени пользователя. Период действия такого кода составляет 60 дней.
Исследователи подчёркивают, что интерфейс Visual Studio Code в данной схеме, по-видимому, выбран намеренно, чтобы упростить извлечение нужного кода и ускорить передачу его третьим лицам. В отличие от других методов, здесь страница не выглядит пустой, а содержит элементы, способные ввести в заблуждение.
Компания Volexity прослеживает связь между двумя кампаниями — текущей и той, что была описана в феврале. Обе приписываются группам с условными названиями UTA0352 и UTA0355. Эксперты полагают, что они действуют с территории России, однако прямых доказательств на этот счёт в распоряжении аналитиков пока нет. По мнению исследователей, нынешняя волна атак логически продолжает события февраля, когда уже использовались схожие приёмы на базе Device Code Authentication.
*принадлежит Meta, запрещенной в РФ и признанной экстремистской.
