俄罗斯黑客滥用微软 OAuth 流程，精准钓鱼劫持乌克兰盟友账户

网络安全专家揭露了一波新的利用Microsoft 365的OAuth工作流程进行精准钓鱼攻击的活动。

自2025年3月以来，Volexity观察到这些活动涉及与俄罗斯有关联的威胁行为者，他们冒充欧洲外交官和乌克兰官员。

这些电子邮件试图诱使人权工作者和非政府组织（NGO）工作人员交出能授予访问其Microsoft账户权限的身份验证代码。

攻击背后的复杂社会工程

被Volexity追踪为UTA0352和UTA0355的威胁行为者，采用了高度个性化的策略来操控目标。受害者通常会通过Signal或WhatsApp收到看似来自欧洲官员的外联信息，提议就与乌克兰相关的事务举行会议。

这些对话最终会引导受害者收到攻击者发送的Microsoft OAuth登录链接，并被要求提供用户在身份验证后看到的一个代码。

这些钓鱼链接会将用户重定向至合法的Microsoft登录页面。然而，一旦受害者（通常通过同一即时通讯平台）返回所显示的代码，攻击者就会用它来生成一个访问令牌，从而解锁受害者的Microsoft 365数据。

在其中一个案例中，UTA0352引导目标访问一个在线托管的Visual Studio Code版本。在那里，受害者在不知情的情况下触发了OAuth流程，并被提示发回授权代码。这些代码有效期长达60天，授予了访问用户Microsoft Graph数据的权限，实际上暴露了其电子邮件和文件。

在另一次活动中，Volexity发现UTA0355使用一个被入侵的乌克兰政府电子邮件账户发送虚构会议的邀请函。后续通过即时通讯应用发送的信息要求用户通过Microsoft URL进行身份验证。

一旦完成身份验证，攻击者就会将一个新设备注册到用户的Entra ID（原Azure AD）中，通过社会工程绕过安全设置并下载电子邮件数据。

关键入侵迹象

Volexity强调了几点组织可以监控的潜在入侵迹象，包括：

1. 使用Visual Studio Code客户端ID进行的OAuth登录活动
2. 重定向到insiders.vscode.dev或vscode-redirect.azurewebsites.net的URL
3. 新注册的、链接到代理IP地址的设备
4. 异常的双重身份验证审批请求
5. 与用户典型电子邮件客户端不匹配的应用程序ID

根据该安全公司的分析，这些活动专门针对与乌克兰有联系的非政府组织、智库和个体。

“基于此，以及2025年2月观察到的类似战术，Volexity以中等可信度评估认为UTA0352和UTA0355均为俄罗斯威胁行为者。”报告指出。

该公司还警告称，由于这些策略完全依赖微软可信赖的基础设施和第一方应用程序，传统的安全控制措施可能效果不佳。

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；