Киберпреступники и хакеры, спонсируемые государствами, всё чаще используют легитимный процесс авторизации устройств Microsoft OAuth 2.0 для захвата корпоративных аккаунтов, обходя многофакторную аутентификацию и получая постоянный доступ к конфиденциальным организационным данным, говорится в отчёте.
Исследователи из Proofpoint отследили несколько групп злоумышленников — как финансово мотивированных, так и связанных с государствами — которые использовали техники фишинга с кодами устройств, чтобы обманом заставить пользователей предоставить несанкционированный доступ к своим учётным записям Microsoft 365. Кампании активизировались с сентября 2025 года, что свидетельствует о значительном сдвиге от ограниченных целевых атак к широкомасштабной эксплуатации.
«Хотя это не обязательно новая техника, примечательно, что она всё чаще используется несколькими группами злоумышленников», — написала команда Proofpoint Threat Research Team в своём блоге.
Эта тактика представляет собой эволюцию методов, которые финансово мотивированные группы использовали ранее в этом году для взлома сред Salesforce у Google, Qantas и люксовых брендов посредством злоупотребления OAuth, затронув сотни организаций. Те атаки на Salesforce, начавшиеся в июне 2025 года, использовали голосовой фишинг. Нынешняя волна отказывается от телефонных звонков в пользу социальной инженерии по электронной почте, что упрощает масштабирование атак.
Легитимный процесс, ставший вредоносным
Атаки злоупотребляют потоком авторизации устройств OAuth, который был разработан для аутентификации на устройствах с ограниченными возможностями ввода, таких как смарт-телевизоры и IoT-устройства. По данным блога, злоумышленники инициируют легитимный процесс авторизации устройств Microsoft, а затем обманом заставляют жертв вводить сгенерированный код устройства — замаскированный под одноразовый пароль — на собственном URL-адресе проверки Microsoft.
«Приманки обычно утверждают, что код устройства является OTP (одноразовым паролем) и направляют пользователя ввести код на URL-адресе проверки Microsoft», — написали исследователи. «Как только пользователь вводит код, исходный токен подтверждается, предоставляя злоумышленнику доступ к целевой учётной записи M365».
Успешные атаки позволяют захватить учётную запись, извлечь данные, осуществить боковое перемещение внутри сетей и установить постоянный доступ к корпоративным ресурсам. В некоторых случаях украденные данные становятся основой для попыток вымогательства, как продемонстрировали ShinyHunters в своих кампаниях против Salesforce.
Инструменты в арсенале
Движущей силой этого всплеска является доступность инструментов, которые облегчают проведение этих атак. Proofpoint выделила два основных комплекта: SquarePhish2 и Graphish.
SquarePhish2 — это обновлённая версия инструмента, первоначально опубликованного Dell Secureworks в 2022 году. Он автоматизирует поток авторизации OAuth Device Grant и интегрирует функциональность QR-кодов.
Фишинговый комплект Graphish, распространяемый на проверенных форумах хакеров, позволяет создавать убедительные фишинговые страницы с использованием Azure App Registrations и возможностей атаки «злоумышленник посередине». «Инструмент разработан так, чтобы быть удобным для пользователя и не требует продвинутых технических знаний, что снижает порог входа и позволяет даже низкоквалифицированным злоумышленникам проводить сложные фишинговые кампании», — написали исследователи Proofpoint в блоге.
Эти инструменты помогают атакующим преодолеть главное ограничение: коды устройств обычно имеют короткий срок действия. Автоматизация позволяет проводить более масштабные кампании, чем было возможно ранее.
Государственные деятели присоединяются к киберпреступникам
С января 2025 года Proofpoint отслеживает несколько связанных с государствами злоумышленников, злоупотребляющих авторизацией устройств OAuth для захвата учётных записей, что является тревожной эволюцией в методах шпионажа.
«Эта техника наиболее широко используется злоумышленниками, связанными с Россией», — отметили исследователи, ссылаясь на предыдущие отчёты охранной фирмы Volexity. Proofpoint также зафиксировала подозрительную активность, связанную с Китаем, и другие неустановленные шпионские кампании.
Одна группа, которую Proofpoint отслеживает как UNK_AcademicFlare, проводит фишинг с кодами устройств как минимум с сентября 2025 года. Предполагаемый связанный с Россией злоумышленник использует скомпрометированные адреса электронной почты правительственных и военных организаций для таргетирования объектов в государственном секторе, аналитических центрах, высшем образовании и транспортной отрасли США и Европы.
UNK_AcademicFlare обычно проводит выжидательное построение отношений через безобидные контакты, прежде чем инициировать попытки фишинга с кодами устройств. Группа использует скомпрометированные учётные записи для организации фиктивных встреч или интервью, а затем делится вредоносными ссылками на URL-адреса Cloudflare Worker, маскирующиеся под учётные записи OneDrive.
Исследователи Volexity задокументировали аналогичные тактики в недавних кампаниях, где российские злоумышленники создавали поддельные веб-сайты, выдавая их за легитимные европейские конференции по безопасности, чтобы обманом заставить участников предоставить доступ OAuth.
Широкомасштабные кампании нацелены на финансовые приманки
Финансово мотивированные злоумышленники также освоили фишинг с кодами устройств. Proofpoint подчеркнула активность TA2723, известного массовыми кампаниями фишинга учётных данных, имитирующими Microsoft OneDrive, LinkedIn и DocuSign.
Начиная с октября 2025 года, TA2723 запускала кампании, используя приманки, связанные с зарплатой и льготами. Одна кампания использовала электронные письма, якобы содержащие документы под названиями «OCTOBER_SALARY_AMENDED» и «Salary Bonus + Employer Benefits Reports 25».
Сообщения направляли получателей на URL-адреса, которые в конечном итоге вели на страницы авторизации устройств, где жертв обманом заставляли генерировать и вводить одноразовые пароли. Исследователи Proofpoint предполагают, что TA2723 использовала как SquarePhish2, так и Graphish в различных волнах кампаний.
Кампания ShinyHunters 2025 года продемонстрировала потенциальный ущерб. В отдельном, но связанном инциденте злоупотребления OAuth злоумышленники использовали токены OAuth, украденные из интеграции Salesloft/Drift, для доступа к экземплярам Salesforce в сотнях организаций. Компании, включая Cloudflare, Zscaler и Tenable, публично сообщили о несанкционированном доступе к данным, что потребовало уведомлений об утечке.
Proofpoint рекомендовала организациям создавать политики условного доступа для полного блокирования потока кодов устройств или внедрять списки разрешённых пользователей и диапазонов IP-адресов. «Традиционное повышение осведомлённости о фишинге часто делает упор на проверку URL-адресов на легитимность. Этот подход неэффективен против фишинга с кодами устройств, где пользователям предлагается ввести код устройства на доверенном портале Microsoft», — написали исследователи.
Microsoft не ответила на запрос о комментарии по поводу этих выводов.
Автор – Gyana Swain
