В мире корпоративной информационной безопасности наблюдается тревожная эскалация: злоумышленники перешли от точечных фишинговых атак к крупномасштабным автоматизированным кампаниям, которые с высокой эффективностью компрометируют учётные записи, обходя многофакторную аутентификацию (MFA). В центре новой угрозы - изощрённое злоупотребление легитимным механизмом Device Code Authentication (авторизация по коду устройства), превращённым в мощный инструмент для несанкционированного доступа. Эта волна атак демонстрирует, как киберпреступники интегрируют искусственный интеллект, облачную автоматизацию и динамическую генерацию кодов, создавая практически непреодолимый для традиционных средств защиты конвейер компрометации.
Описание
Исследователи Microsoft Defender Security Research зафиксировали массовую кампанию, которая радикально отличается от предыдущих атак, подобной Storm-2372, наблюдаемой в феврале 2025 года. Ключевым драйвером этой активности стал фишинг-как-услуга (PhaaS) под названием EvilToken. Однако главная опасность заключается не в самом инструменте, а в подходе: злоумышленники полностью автоматизировали процесс, от разведки до закрепления в системе, используя динамически развёртываемую облачную инфраструктуру. Это позволяет им генерировать уникальные фишинговые страницы и коды авторизации в реальном времени, что сводит на нет эффективность статических чёрных списков URL и сигнатурных методов детектирования.
Традиционный фишинг через Device Code работал по простой схеме: злоумышленник заранее генерировал код, встраивал его в письмо и надеялся, что жертва успеет ввести его на официальном портале microsoft.com/devicelogin в течение стандартного 15-минутного окна действия. Новая кампания кардинально меняет правила игры. В момент, когда пользователь кликает по ссылке в письме, запускается сложная цепочка действий на стороне злоумышленника. Автоматизированный бэкенд, развёрнутый на платформах вроде Railway.com, мгновенно обращается к официальному API Microsoft, чтобы сгенерировать свежий, валидный Device Code, привязанный к email-адресу жертвы. Таким образом, 15-минутный отсчёт начинается только в момент взаимодействия пользователя, гарантируя актуальность кода и резко повышая успешность атаки.
Параллельно для обхода почтовых фильтров и систем анализа угроз используется многоступенчатая система редиректов через скомпрометированные легитимные домены и высокорепутационные бессерверные платформы, такие как Vercel, Cloudflare Workers и AWS Lambda. Это позволяет фишинговому трафику маскироваться под обычный корпоративный облачный трафик. Финальная целевая страница, которую видит пользователь, часто представляет собой изощрённую подделку - технику "браузер в браузере", которая визуально имитирует настоящее окно авторизации Microsoft, или "размытый" предварительный просмотр документа с кнопкой "Подтвердить личность". Для ещё большего упрощения процесса сценарий на странице может автоматически копировать сгенерированный код в буфер обмена пользователя, сокращая время до завершения аутентификации.
После того как пользователь вводит код на официальном сайте Microsoft и проходит MFA, сессия авторизуется не для его устройства, а для сессии злоумышленника на его сервере. В этот момент автоматизированный скрипт, опрашивающий бэкенд, получает статус "успех" и доступ к токену доступа (Access Token) жертвы. Именно здесь проявляется фундаментальная уязвимость потока Device Code: аутентификация происходит на отдельном устройстве, что ослабляет привязку сессии к исходному контексту пользователя и позволяет обходить MFA. Получив токен, злоумышленники немедленно приступают к валидации сессии и разведке через Microsoft Graph, чтобы оценить уровень доступа и структуру организации.
Последствия такой компрометации носят целевой и разрушительный характер. Хотя атака массовая, дальнейшие действия сосредоточены на высокоценных целях. Используя автоматизированные методы обогащения данных, такие как анализ публичных профилей и корпоративных каталогов, злоумышленники выявляют сотрудников финансовых отделов и топ-менеджеров. Для этих целей в течение нескольких часов после взлома могут создаваться вредоносные правила для почтового ящика, предназначенные для перехвата или сокрытия переписки, связанной с денежными переводами или счетами. В некоторых случаях для долгосрочного закрепления в системе регистрируются новые устройства для получения Primary Refresh Token (первичного токена обновления). Это превращает единовременный успех фишинга в устойчивую угрозу для всей организации.
Данная кампания служит ярким индикатором сдвига парадигмы в киберпреступности. Угроза эволюционировала от ручных операций к фабрике компрометации, управляемой искусственным интеллектом и облачной автоматизацией. Защита теперь требует не просто блокировки известных вредоносных ссылок, а глубокого анализа поведения, мониторинга аномальных OAuth-сессий и строгого контроля за регистрацией новых устройств и созданием правил в почтовых системах. Организациям необходимо сосредоточиться на обучении пользователей распознаванию сложных фишинговых сценариев и внедрении решений, способных детектировать аномальную активность, связанную с использованием токенов и API Microsoft Graph, поскольку традиционные средства защиты периметра в этой новой реальности оказываются бессильны.
Индикаторы компрометации
IP Range
- 160.220.232.0
- 160.220.234.0
- 185.81.113.0
- 89.150.45.0
