HackerNews 编译,转载请注明出处:
网络安全专家揭露了一波新的利用Microsoft 365的OAuth工作流程进行精准钓鱼攻击的活动。
自2025年3月以来,Volexity观察到这些活动涉及与俄罗斯有关联的威胁行为者,他们冒充欧洲外交官和乌克兰官员。
这些电子邮件试图诱使人权工作者和非政府组织(NGO)工作人员交出能授予访问其Microsoft账户权限的身份验证代码。
攻击背后的复杂社会工程
被Volexity追踪为UTA0352和UTA0355的威胁行为者,采用了高度个性化的策略来操控目标。受害者通常会通过Signal或WhatsApp收到看似来自欧洲官员的外联信息,提议就与乌克兰相关的事务举行会议。
这些对话最终会引导受害者收到攻击者发送的Microsoft OAuth登录链接,并被要求提供用户在身份验证后看到的一个代码。
这些钓鱼链接会将用户重定向至合法的Microsoft登录页面。然而,一旦受害者(通常通过同一即时通讯平台)返回所显示的代码,攻击者就会用它来生成一个访问令牌,从而解锁受害者的Microsoft 365数据。
在其中一个案例中,UTA0352引导目标访问一个在线托管的Visual Studio Code版本。在那里,受害者在不知情的情况下触发了OAuth流程,并被提示发回授权代码。这些代码有效期长达60天,授予了访问用户Microsoft Graph数据的权限,实际上暴露了其电子邮件和文件。
在另一次活动中,Volexity发现UTA0355使用一个被入侵的乌克兰政府电子邮件账户发送虚构会议的邀请函。后续通过即时通讯应用发送的信息要求用户通过Microsoft URL进行身份验证。
一旦完成身份验证,攻击者就会将一个新设备注册到用户的Entra ID(原Azure AD)中,通过社会工程绕过安全设置并下载电子邮件数据。
关键入侵迹象
Volexity强调了几点组织可以监控的潜在入侵迹象,包括:
- 使用Visual Studio Code客户端ID进行的OAuth登录活动重定向到
insiders.vscode.dev或vscode-redirect.azurewebsites.net的URL新注册的、链接到代理IP地址的设备异常的双重身份验证审批请求与用户典型电子邮件客户端不匹配的应用程序ID根据该安全公司的分析,这些活动专门针对与乌克兰有联系的非政府组织、智库和个体。
“基于此,以及2025年2月观察到的类似战术,Volexity以中等可信度评估认为UTA0352和UTA0355均为俄罗斯威胁行为者。”报告指出。
该公司还警告称,由于这些策略完全依赖微软可信赖的基础设施和第一方应用程序,传统的安全控制措施可能效果不佳。
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
