Злоумышленники нацеливаются на технологические, производственные и финансовые организации в рамках кампаний, сочетающих фишинг с использованием кодов устройств и голосовой фишинг (вишинг) для злоупотребления потоком авторизации устройств OAuth 2.0 и компрометации учетных записей Microsoft Entra.
В отличие от предыдущих атак, которые использовали вредоносные приложения OAuth для компрометации учетных записей, эти кампании вместо этого используют легитимные идентификаторы клиентов OAuth от Microsoft и поток авторизации устройств, чтобы обманом заставить жертв пройти аутентификацию.
Это предоставляет злоумышленникам действительные токены аутентификации, которые могут быть использованы для доступа к учетной записи жертвы без необходимости использования обычных фишинговых сайтов, крадущих пароли или перехватывающих коды многофакторной аутентификации.
Источник сообщил BleepingComputer, что, по их мнению, за новыми атаками с использованием вишинга и кодов устройств стоит группа вымогателей ShinyHunters, что впоследствии было подтверждено злоумышленниками. BleepingComputer не удалось независимо подтвердить эту информацию.
Недавно ShinyHunters была связана с вишинг-атаками, использованными для кражи данных учетных записей Okta и Microsoft Entra SSO.
BleepingComputer обратился к Microsoft по поводу этих атак, но получил ответ, что компании пока нечего сообщить.
Атаки социальной инженерии с использованием кодов устройств
BleepingComputer стало известно из нескольких источников, что злоумышленники начали использовать вишинг-атаки социальной инженерии, которые больше не требуют инфраструктуры, контролируемой злоумышленниками. Вместо этого они используют легитимные формы входа Microsoft и стандартные рабочие процессы аутентификации по коду устройства для взлома корпоративных учетных записей.
Атака с использованием фишинга по коду устройства заключается в злоупотреблении легитимным потоком предоставления авторизации устройства OAuth 2.0 для получения токенов аутентификации для учетной записи Microsoft Entra жертвы.
Затем это может быть использовано для получения доступа к ресурсам пользователя и подключенным приложениям SSO, таким как Microsoft 365, Salesforce, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian и многим другим.
Этот поток предоставления был разработан для упрощения подключения устройств, не имеющих доступных опций ввода, таких как IoT-устройства, принтеры, потоковые устройства и телевизоры.
“Платформа идентификации Microsoft поддерживает предоставление авторизации устройства, которое позволяет пользователям входить в устройства с ограниченными возможностями ввода, такие как смарт-телевизор, IoT-устройство или принтер”, — объясняет Microsoft.
“Чтобы включить этот поток, устройство предлагает пользователю посетить веб-страницу в браузере на другом устройстве для входа. После входа пользователя устройство может получать токены доступа и токены обновления по мере необходимости.”
Этот поток аутентификации похож на тот, который вы видите при входе в стриминговый сервис, такой как Netflix или Apple TV, где потоковое устройство отображает короткий код и предлагает вам посетить веб-сайт на вашем телефоне или компьютере для завершения входа.
После ввода кода и аутентификации устройство автоматически связывается с вашей учетной записью, никогда не обрабатывая ваш пароль напрямую.
Для проведения атаки с использованием фишинга по коду устройства злоумышленникам нужен client_id существующего приложения OAuth, которое может быть их собственным или одним из существующих приложений Microsoft.
Используя инструменты с открытым исходным кодом, злоумышленники генерируют “device_code” и “user_code“, которые будут переданы цели для указанного приложения OAuth.
Затем злоумышленники связываются с целевым сотрудником и пытаются убедить его ввести сгенерированный user_code на странице аутентификации устройства Microsoft по адресу microsoft.com/devicelogin.
Когда целевой пользователь вводит код, ему будет предложено войти, используя свои учетные данные, и пройти любые проверки MFA, как если бы он входил в обычном режиме. После аутентификации Microsoft отображает название авторизованного приложения OAuth.
Однако, поскольку злоумышленники могут использовать легитимные приложения, даже от Microsoft, это может придать процессу аутентификации большую легитимность и доверие.
Как только приложение OAuth будет подключено к учетной записи, злоумышленники смогут использовать device_code для получения токена обновления целевого сотрудника, который затем может быть обменен на токены доступа.
Эти токены доступа позволяют злоумышленникам получать доступ к службам Microsoft сотрудника без необходимости повторного прохождения многофакторной аутентификации, поскольку MFA уже была пройдена во время первоначального входа.
Теперь злоумышленники могут аутентифицироваться как пользователь в Microsoft Entra и получать доступ к приложениям SaaS, настроенным с помощью SSO (единого входа) в клиенте жертвы, что позволяет красть корпоративные данные для вымогательства.
KnowBe4 Threat Labs также обнаружила недавнюю кампанию, которая использует традиционные фишинговые электронные письма и веб-сайты для доставки атак с использованием кодов устройств.
Компания впервые заметила кампанию в декабре 2025 года и заявила, что она в значительной степени полагается на приманки социальной инженерии, такие как поддельные запросы на настройку платежей, оповещения о совместном использовании документов и ложные уведомления о голосовой почте.
KnowBe4 рекомендует владельцам учетных записей Microsoft 365 блокировать вредоносные домены и адреса отправителей, аудировать и отзывать разрешения подозрительных приложений OAuth, а также проверять журналы входа Azure AD на наличие событий аутентификации по коду устройства.
Администраторам также рекомендуется отключить опцию потока кодов устройств, когда она не требуется, и применять политики условного доступа.
Фишинг с использованием кодов устройств не нов, и в прошлом множество злоумышленников использовали этот метод для взлома учетных записей.
В феврале 2025 года Microsoft Threat Intelligence Center предупреждал, что российские хакеры нацеливаются на учетные записи Microsoft 365, используя фишинг с кодами устройств.
В декабре ProofPoint сообщил о схожих атаках, в которых использовался аналогичный фишинговый набор, замеченный KnowBe4, для взлома учетных записей Microsoft.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
