Новая волна фишинга атакует Microsoft 365 через легальные механизмы OAuth

Атака строится на социальной инженерии. Жертва получает письмо с убедительной легендой - например, уведомление о совместном документе, изменении зарплаты или приглашение на собеседование. В письме содержится ссылка или QR-код, ведущие на контролируемый злоумышленниками сайт. Там пользователя просят ввести свой email. Затем ему показывают код устройства и инструкцию ввести его на официальной странице Microsoft "microsoft.com/devicelogin" для «безопасной аутентификации». По сути, пользователь сам авторизует вредоносное приложение, созданное злоумышленниками в Azure, что дает им полный доступ к учетной записи M365. После успешного компрометации возможен захват аккаунта, хищение данных, перемещение по сети и закрепление в системе.

Proofpoint выделяет несколько ключевых инструментов, которые делают такие атаки массовыми и доступными. Инструмент SquarePhish2, изначально созданный для тестирования на проникновение, автоматизирует атаку через QR-коды, имитируя процесс настройки двухфакторной аутентификации. Более того, в криминальных форумах появился бесплатный фишинговый набор Graphish. Он позволяет создавать высококачественные фишинговые страницы, использующие обратный прокси для атак «злоумышленник-в-середине». Эти инструменты не требуют глубоких технических знаний, что снижает входной барьер для преступников.

Среди активных группировок исследователи отмечают TA2723 - финансово мотивированного актора, известного массовыми кампаниями. В октябре 2025 года TA2723 начал использовать фишинг кодов устройств, рассылая письма с темами вроде «OCTOBER_SALARY_AMENDED». Кроме того, с сентября 2025 года Proofpoint отслеживает группировку UNK_AcademicFlare, которую с высокой долей вероятности связывают с российскими государственными интересами. Этот актор использует скомпрометированные почтовые адреса правительственных и военных организаций для установления контакта с экспертами из сферы госуправления, аналитических центров и транспорта в США и Европе. После установления доверительных отношений злоумышленники предлагают перейти по ссылке на поддельный OneDrive, что запускает процесс фишинга через код устройства.

Основная проблема этой угрозы заключается в том, что она обходит традиционные меры безопасности. Пользователя перенаправляют на абсолютно легальный домен Microsoft, что делает классические тренировки по проверке URL неэффективными. Эксперты Proofpoint дают несколько рекомендаций для защиты. Самый надежный метод - заблокировать поток авторизации Device Code Flow для всех пользователей с помощью политики условного доступа в Azure AD. Если полная блокировка невозможна, следует создать «белый список», разрешив этот метод только для определенных пользователей, операционных систем или IP-адресов. Дополнительной мерой защиты может стать требование входа только с соответствующих политикам или присоединенных к домену устройств. Крайне важно обновить программы обучения киберграмотности, объяснив сотрудникам, что нельзя вводить на сайте Microsoft коды, полученные из непроверенных источников, даже если запрос выглядит срочным.

Исследователи приходят к выводу, что злоупотребление легальными потоками аутентификации OAuth становится массовой тенденцией. Угрозы полагаются на сложную социальную инженерию, заставляя пользователей самих предоставлять доступ. По мере распространения беcпарольной аутентификации и стандарта FIDO подобные техники, вероятно, будут только набирать популярность. Организациям необходимо ужесточить контроль над OAuth-приложениями и готовиться к новым сценариям фишинга, которые эксплуатируют доверие к официальным системам входа.

IPv4

• 196.251.80.184

Domains

• 97d7e46b-1bff-4f24-b262-8b0b3914d88a.us5.azurecomm.net
• acxioswan.com
• acxishare.com
• allspringglobalinvestmentsllc.onmicrosoft.com
• aresmanagementllc.onmicrosoft.com
• bluecubecapital.com
• citadeladvisorsllc.onmicrosoft.com
• collabodex.com
• confidentfiles.com
• cpuhp.onmicrosoft.com
• docifytoday.com
• filetix.com
• infoldium.com
• magnavite.com
• millenniummanagementllc.onmicrosoft.com
• myfilepass.com
• nebulafiles.com
• novodocument.com
• renewauth.com
• spacesdocs.com
• vaultally.com
• xgjtvyptrjlsosv.live

URLs

• https://agimplfundmgt.z13.web.core.windows.net
• https://blackrockfundmgt.z13.web.core.windows.net
• https://clientlogin.blitzcapital.net/
• https://corphostedfileservices.s3.eu-north-1.amazonaws.com/auth.html
• https://login.microsoftonline.com/common/oauth2/deviceauth[Abused]
• https://myapplicationinterfaces.s3.eu-north-1.amazonaws.com/index.html
• https://onedrive[.]gov-zm[.]workers[.]dev
• https://onlinedocuments-[OrganisationName].vxhwuulcnfzlfmh.live/token/request?id=a[PII_Linkable_hex]9
• https://onlinedocuments-[OrganisationName].xgjtvyptrjlsosv.live/application/99[PII_Linkable]e9
• https://onlinedocuments-[OrganisationName].xgjtvyptrjlsosv.live/token/request?id=99[PII_Linkable]e9
• https://onlinedocuments-[OrganizationName].vxhwuulcnfzlfmh.live/application/a[PII_Linkable_hex]9
• https://portal.msprogresssharefile.cloud/
• https://progressiveweba.z13.web.core.windows.net
• https://sharefile.progressivesharepoint.top/
• https://sharingfilesystems.z13.web.core.windows.net
• https://www.myfilepass.com/69[PII_Linkable]ed
• https://www.renewauth.com/3a[PII_Linkable]59
• https://www.vaultaliy.com/a[PII_Linkable_hex]9
• https://www.virtoshare.com/99[PII_Linkable]e9

Emails

• no-reply.doc333@ksmus.virtoshare.com
• robert.pena@FirstTrustAdvisorsLP.onmicrosoft.com