Масштабная атака с использованием кода устройства: мошенники обходят многофакторную аутентификацию через легитимный протокол OAuth

Техника Device Code Phishing эксплуатирует легитимный протокол OAuth 2.0 Device Authorization Grant, предназначенный для устройств без полноценного браузера - например, смарт-телевизоров, принтеров или IoT-датчиков. Вредоносный сценарий выглядит обманчиво простым: злоумышленник инициирует запрос на авторизацию от имени жертвы и получает код устройства. Затем он отправляет жертве письмо с просьбой ввести этот код на официальной странице microsoft.com/devicelogin. Жертва, думая, что выполняет легитимное действие, вводит код и проходит аутентификацию, включая многофакторную проверку, на настоящем сервере Microsoft. В результате злоумышленник получает действующие токены доступа и обновления (OAuth access и refresh tokens), которые позволяют ему входить в почтовый ящик и другие сервисы без каких-либо дополнительных подтверждений.

Кампания опиралась на инфраструктуру фишинга как услуги (PhaaS) под названием Kali365 Live. Эта платформа предоставляет злоумышленникам полный набор инструментов для автоматизации атак: от генерации приманок до управления похищенными токенами. Основной сервер находился по адресу 216.203.20.95, но исследователи выявили ещё два связанных узла с идентичным TLS-сертификатом, что говорит о масштабной и хорошо организованной сети.

После получения начального доступа злоумышленники в ряде случаев создавали вредоносные правила для почтового ящика. Как рассказали эксперты Arctic Wolf в своём отчёте, эти правила автоматически перемещали письма с ключевыми словами вроде "спам", "фишинг", "ссылка" или "SharePoint" в отдельную папку и помечали их как прочитанные. Таким образом злоумышленники прятали уведомления безопасности от жертвы и продлевали своё нелегальное присутствие в системе. Кроме того, они могли регистрировать новое доверенное устройство в среде Microsoft 365, чтобы сохранить доступ даже после смены токенов.

Сама платформа Kali365 Live представляет собой трёхуровневую экосистему. Верхний уровень - администратор (автор набора инструментов), который управляет всей системой. Второй уровень - агент (перепродавец), который предоставляет доступ клиентам. Третий уровень - клиент (аффилированный злоумышленник), который непосредственно проводит фишинговые кампании. Для регистрации требуется оплата через криптовалютный сервис Trocador без идентификации личности. Стоимость подписки составляет 250 долларов за 30 дней или 2000 долларов за год.

Особое внимание привлекает возможность быстрой генерации приманок. Панель управления поддерживает 14 языков, включая русский, а также несколько вариантов оформления, имитирующих корпоративные интерфейсы. Злоумышленники могут создавать приманки в виде PDF, Word, Excel или PowerPoint-файлов, а также использовать готовые шаблоны писем от имени Adobe Acrobat Sign, DocuSign, SharePoint, OneDrive, Teams и других сервисов. Всё это размещается через Cloudflare Workers - облачную платформу для выполнения кода, что затрудняет блокировку вредоносных страниц.

Kali365 Live поддерживает два режима работы. Первый - Device Code Mode (режим кода устройства), описанный выше. Второй - Cookie Link Mode (режим перехвата сессионных cookie). В этом варианте жертву направляют через вредоносный прокси-сервер, который прозрачно передаёт её запросы на настоящий Microsoft, захватывая при этом все сессионные данные - cookies, токены и учётные данные. Такой подход позволяет злоумышленнику не только получить доступ к почтовому ящику, но и воспроизвести полный браузерный сеанс жертвы.

Ущерб от подобной атаки может быть значительным: похищенные токены дают доступ к контактам, календарям, файлам, а также позволяют проводить дальнейшие целевые атаки - например, отправлять фишинговые письма от имени скомпрометированного сотрудника. В некоторых случаях злоумышленники могут получить доступ к привилегированным учётным записям и нанести ещё больший вред.

Специалисты Arctic Wolf настоятельно рекомендуют организациям оценить необходимость использования протокола Device Code Flow в своей среде. Если он не требуется для легитимных задач (например, для конференц-залов или устройств интернета вещей), его следует заблокировать с помощью политики Conditional Access в Microsoft Entra ID. Для тех случаев, когда протокол всё же нужен, можно ограничить его применение доверенными IP-адресами, конкретными платформами или группами пользователей. Кроме того, стоит включить политики риска при входе в систему, чтобы выявлять аномальные попытки аутентификации.

Текущая кампания наглядно демонстрирует, как киберпреступники адаптируются к мерам защиты: они не взламывают пароли, а используют легитимные механизмы аутентификации против самих пользователей. Для бизнеса это означает, что одной многофакторной аутентификации больше недостаточно. Необходим комплексный подход, включающий блокировку ненужных протоколов, непрерывный мониторинг сессий и обучение сотрудников распознаванию социальной инженерии. Инцидент с платформой Kali365 Live - лишь вершина айсберга; подобные PhaaS-сервисы становятся всё доступнее, и любой организации стоит подготовиться к новой волне атак.

IPv4 Port Combinations

• 162.243.166.119:8443
• 199.91.220.111:8443
• 216.203.20.95:8443

Domains

• api.kali365.xyz
• kali365.xyz
• v2.kali365.xyz

SHA256

• 09bb7e568e573497e22bfa3f36d71fe9d104899826608affedb25d988f391c85
• 2fa6fc2199d3be55e240500d87e4484f39b9315bf336be25434f6716b8d28ec8
• 883d5d4a73b0ac8cf4f78fe46d8f4e76e21508872836f2b439af2de4a205128e