HackerNews 编译,转载请注明出处:
自2025年3月初以来,多个疑似与俄罗斯有关联的威胁组织针对与乌克兰及人权事务相关的个人和机构发动攻击,旨在非法入侵Microsoft 365账户。Volexity指出,此类高度定向的攻击已从此前利用设备代码钓鱼技术的攻击方式转向新策略,表明俄罗斯对手正在积极改进其攻击手法。
安全研究人员Charlie Gardner、Josh Duke、Matthew Meltzer、Sean Koessel、Steven Adair和Tom Lancaster在详尽分析中表示:“近期观测到的攻击严重依赖与目标的点对点互动,攻击者必须说服目标点击链接并回传微软生成的验证码。”目前至少有两个追踪编号为UTA0352和UTA0355的威胁集群被认定参与攻击,但尚未排除其与APT29、UTA0304和UTA0307存在关联的可能性。
最新攻击的特征在于滥用合法的Microsoft OAuth 2.0身份验证工作流程。攻击者冒充欧洲多国官员,并至少在一次案例中利用被入侵的乌克兰政府账户诱骗受害者提供微软生成的OAuth代码以控制其账户。攻击者通过Signal和WhatsApp等即时通讯软件联系目标,邀请其参加与欧洲政要的视频通话或注册涉及乌克兰事务的私人会议,最终诱导受害者点击托管在Microsoft 365基础设施上的链接。
Volexity表示:“若目标回应信息,对话将迅速推进至实际安排会议时间。当约定时间临近时,伪装成欧洲政要的攻击者会再次联系目标,发送会议加入指引。”这些指引以文档形式呈现,随后攻击者发送会议链接。所有URL均重定向至Microsoft 365官方登录门户。
具体而言,攻击者设计的链接会重定向至微软官方URL并在过程中生成微软授权令牌,该令牌将出现在URI或重定向页面正文中。攻击随后试图诱骗受害者与攻击者共享该代码。这是通过将已认证用户重定向至浏览器版Visual Studio Code(insiders.vscode[.]dev)实现的,令牌将在此界面显示给用户。若受害者分享OAuth代码,UTA0352将生成访问令牌以最终控制受害者M365账户。
Volexity还观测到该活动的早期版本会将用户重定向至“vscode-redirect.azurewebsites[.]net”网站,该网站再次重定向至本地IP地址(127.0.0.1)。研究人员解释称:“此时授权码仅存在于URL中,用户浏览器会显示空白页面。攻击者必须要求用户分享浏览器URL才能获取代码。”
2025年4月初发现的另一社交工程攻击涉及UTA0355使用已入侵的乌克兰政府电子邮箱向目标发送钓鱼邮件,随后通过Signal和WhatsApp发送信息。这些信息邀请目标参加关于乌克兰“暴行罪”起诉及国际合作投资的视频会议。尽管最终目标与UTA0352相同,但存在关键差异:攻击者滥用微软365认证API获取受害者邮件数据,并将窃取的OAuth授权码用于在受害者Microsoft Entra ID(原Azure Active Directory)永久注册新设备。
攻击者随后发起第二轮社交工程以说服目标批准双重认证请求并劫持账户。Volexity指出:“在此次互动中,UTA0355要求受害者批准双重认证(2FA)请求以‘访问与会议关联的SharePoint实例’,此举旨在绕过受害者组织设置的额外安全要求以访问其邮箱。”该攻击的特别有效性体现在:登录活动、邮件访问及设备注册均通过地理位置与受害者匹配的代理网络进行,大幅增加检测难度。
为应对此类攻击,建议组织审计新注册设备、培训用户警惕即时通讯平台上的非主动联络,并实施条件访问策略限制仅允许受审批/管理设备访问组织资源。Volexity补充道:“近期攻击活动完全利用微软官方基础设施进行用户交互,未使用攻击者自托管设施。同时,攻击不涉及需用户显式授权的恶意OAuth应用(此类应用可被组织轻松拦截)。已获许可的微软原生应用使用使得该技术的预防与检测极为困难。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
