Microsoft 365 OAuth orosz kiberszereplők célpontjában
2025. március eleje óta a Volexity több feltételezett orosz kiberszereplőt figyelt meg, akik célzott social engineering műveleteket hajtottak végre, amelyek célja a Microsoft 365 fiókokhoz való hozzáférés megszerzése volt.
Idén februárban Microsoft és a Volexity is azonosított hasonló kibertevékenységeket. A Volexity több olyan 2025. január közepén kezdődött Device Code Authentication social engineering és spear phishing kampányt azonosított, amelyek célja a Microsoft 365 fiókok kompromittálása volt. Az azonosított kibertevékenységek különböző témájú spear-phishing e-mailekkel indultak, de például az egyik esetben egy személyre szabott Signal üzenettel indult a támadás. A Volexity magas bizonyossággal úgy ítélte meg, hogy az azonosított kampányt oroszországi kiberszereplők hajtották végre. A Volexity három különböző kiberszereplőhöz kötötte a kibertevékenységeket úgy, mint az UTA0304, az UTA0307 a CozyLarch (amely átfedést mutat a NOBELIUM, DarkHalo, APT29, Midnight Blizzard, CozyDuke vagy CozyBear néven is ismert csoporttal).
A februári jelentés óta, bár csökkent az orosz kiberszereplők Device Code Authentication phishing tevékenysége, a Volexity megfigyelte, hogy más támadási módszerek felé fordultak a kiberszereplők, amelyek más legitim M365 OAuth-hitelesítési munkafolyamatokkal élnek vissza. Ezek a nemrégiben megfigyelt támadások nagymértékben támaszkodnak a célpontokkal való személyes interakcióra, mivel a kiberszereplőnek meg kell győznie az áldozatokat, hogy kattintsanak egy linkre, és vissza kell küldeniük egy Microsoft által generált kódot.
A Volexity jelenleg legalább két orosz kiberszereplőt követ (UTA0352 és UTA0355) akik a kampány mögött állnak. Valószínűsíthető, hogy átfedések vannak az említett fenyegető szereplők és a Volexity által korábban követett kiberszereplők között. A Volexity blogbejegyzése részletezi a kampány során használt különböző technikákat és a kampányok közös vonásait. A kiberszereplők mindkét kampányban egy üzenetküldő alkalmazáson (Signal, WhatsApp) keresztül veszik fel a kapcsolatot az áldozattal, akit egy videókonferenciára hívnak., amin az ukrajnai konfliktusról tárgyalnának. Miután az áldozat válaszolt, a támadó elküld egy OAuth adathalász URL-t, amelyről azt állítja, hogy szükséges a videóhíváshoz való csatlakozáshoz. Az áldozatot arra kérik, hogy küldje vissza a Microsoft által generált OAuth-kódot a támadónak. Ha az áldozat megosztja az OAuth-kódot, a támadó képes létrehozni egy hozzáférési tokent, amely végül hozzáférést biztosít az áldozat M365-fiókjához.
