Новые фишинговые кампании используют уязвимости в процедуре авторизации Open Authorization (OAuth) для незаметного захвата контроля над учетными записями Microsoft. Согласно исследованию специалистов по кибербезопасности Белиза Калели и Алекса Старова, злоумышленники успешно маскируются под известные бизнес-платформы, обманом вынуждая пользователей предоставлять доступ к своим аккаунтам.
Описание
Атаки основаны на манипуляции стандартными процессами авторизации OAuth - открытого протокола авторизации, который позволяет приложениям получать ограниченный доступ к пользовательским аккаунтам без раскрытия паролей. Злоумышленники создают поддельные страницы, имитирующие легитимные сервисы, и направляют пользователей через официальные страницы авторизации Microsoft, что затрудняет обнаружение мошенничества.
В двух недавно выявленных связанных кампаниях киберпреступники имитировали платформы SAP Concur и Vanguard Funds. Обе атаки используют схожие домены и инфраструктуру, что указывает на возможную связь между ними. Особенностью этих атак стало использование официальных URL-адресов Microsoft для авторизации, что повышает доверие жертв к мошенническим страницам.
В случае с фишингом, имитирующим SAP Concur, пользователи получают ссылку на поддельную страницу входа. После ввода адреса электронной почты система просит скопировать и вставить специальный код на страницу авторизации Microsoft. Этот код, сгенерированный злоумышленниками, фактически предоставляет контролируемое атакующими устройство доступ к учетной записи жертвы без необходимости взлома пароля.
Атака, маскирующаяся под Vanguard Funds, использует более изощренный подход. В email-сообщениях, якобы исходящих от инвестиционной компании, злоумышленники скрывают OAuth-ссылку под видом документа PDF. При переходе по ссылке пользователь авторизуется через официальную страницу Microsoft, но токены доступа перенаправляются на контролируемый атакующими URI. Это позволяет злоумышленникам получать полномочия, указанные в параметрах области действия запроса.
Эксперты по безопасности отмечают, что подобные атаки особенно опасны, поскольку обходят традиционные меры защиты, включая многофакторную аутентификацию. Пользователи, видя знакомые интерфейсы авторизации Microsoft, не подозревают, что предоставляют доступ третьим лицам. При этом атака происходит без перехвата учетных данных - злоумышленники получают прямой авторизованный доступ к аккаунту.
Для защиты от подобных угроз специалисты рекомендуют организациям внедрять политики условного доступа, ограничивающие разрешения OAuth-приложений. Пользователям следует внимательно проверять запросы на авторизацию, обращая особое внимание на запрашиваемые разрешения и домены перенаправления. Любые неожиданные запросы на доступ к учетной записи должны вызывать подозрение, даже если они приходят через официальные системы авторизации.
Корпорация Microsoft осведомлена о подобных атаках и рекомендует администраторам использовать функции аудита для мониторинга подозрительной активности OAuth-приложений. Регулярный обзор предоставленных разрешений и настройка уведомлений о новых авторизациях могут помочь своевременно выявлять несанкционированный доступ.
По мере того как компании все чаще используют OAuth для интеграции сторонних сервисов, киберпреступники адаптируют свои методы атак под эту технологию. Только в 2023 году было зафиксировано несколько масштабных кампаний, использующих уязвимости в процессе авторизации. Специалисты прогнозируют дальнейший рост подобных инцидентов, что требует повышения осведомленности как со стороны конечных пользователей, так и ИТ-специалистов.
Проблема усугубляется тем, что многие организации недостаточно контролируют процессы OAuth-авторизации в своих экосистемах. Отсутствие четких политик управления разрешениями и мониторинга необычной активности создает благоприятные условия для злоумышленников. Эксперты призывают компании пересмотреть свои подходы к безопасности OAuth и внедрить системы обнаружения аномального поведения при авторизации.
Понимание механизмов работы OAuth и потенциальных векторов атак становится критически важным для обеспечения безопасности корпоративных учетных записей. Регулярное обучение сотрудников, внедрение технических средств контроля и постоянный мониторинг подозрительной активности должны стать стандартными практиками в современных условиях киберугроз.
Индикаторы компрометации
Domains
- agimplfundmgt.z13.web.core.windows.net
- aresffundmgt.z13.web.core.windows.net
- auth.concurrentservices.top
- blackrockfundmgt.z13.web.core.windows.net
- clientlogin.sapconcurrentservices.help
- lobominesapp.z13.web.core.windows.net
- pgimglobalinvest.z13.web.core.windows.net
- principalglobalinvestors.z13.web.core.windows.net
- spreecapital.com
URLs
- https://clientlogin.sapconcurrentservices.help/?applicationId=3a1cb776-5d4d-49cf-9d6f-ea8d24e2819c&hostname=apps.concur.com&br=cf8140cd0a5118120d46b3b3601098b3
- https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=e40de0db-0bb9-4d48-bcd5-57147ae3281f&response_type=code&redirect_uri=https://principalglobalinvestors.z13.web.core.windows.net&scope=https%3A%2F%2Fmanagement.core.windows.net%2F%2F.default
