Специалисты по информационной безопасности столкнулись с резким ростом изощрённых фишинговых атак, которые обходят традиционные средства защиты, эксплуатируя легитимный механизм авторизации Microsoft. Вместо кражи паролей злоумышленники теперь напрямую получают токены доступа к аккаунтам жертв, используя поток Device Code в рамках протокола OAuth. Этот метод кардинально меняет ландшафт угроз, связанных с компрометацией учетных записей, и представляет серьёзную проблему для центров мониторинга безопасности (SOC). Аналитики сервиса ANY.RUN зафиксировали всплеск активности, обнаружив более 180 фишинговых URL-адресов, использующих эту технику, всего за одну неделю.
Описание
Ключевая опасность новой схемы заключается в её скрытности. В отличие от классического фишинга, где жертва вводит учётные данные на поддельной странице, здесь взаимодействие с фальшивкой минимально. Пользователь в конечном итоге авторизуется на настоящем домене Microsoft, проходя даже многофакторную аутентификацию (MFA), что делает атаку крайне убедительной. Между тем, сама логика атаки строится на злоупотреблении функцией входа для устройств без полноценного браузера, такой как игровые приставки или Smart TV.
Механизм атаки технически сложен, но для жертвы выглядит как ряд простых шагов. Злоумышленник инициирует запрос на авторизацию устройства в Microsoft, получая два ключевых значения: user_code (короткий код для показа пользователю) и device_code (внутренний идентификатор сессии, который остаётся у атакующего). Затем жертве, например, через письмо с фальшивым уведомлением DocuSign, показывают страницу с инструкцией скопировать этот user_code и ввести его на официальной странице microsoft.com/devicelogin. Пользователь, попадая на легитимный ресурс корпорации, вводит код, затем свои настоящие логин, пароль и код MFA, полагая, что подтверждает просмотр документа. В этот момент его сессия успешно «привязывается» к device_code, которым владеет злоумышленник. Последний, опрашивая API Microsoft, получает токены доступа (access token) и обновления (refresh token) для аккаунта жертвы, как сообщили аналитики ANY.RUN.
Именно получение OAuth-токенов является главной целью и отличием этой атаки. Обладая таким токеном, злоумышленник получает доступ к сервисам Microsoft 365 (например, Outlook, SharePoint, Teams) от имени пользователя, не зная его пароля. Поскольку доступ осуществляется через официальные API с валидными учётными данными, это крайне затрудняет обнаружение вторжения. Вся коммуникация происходит по зашифрованным HTTPS-каналам с доверенных доменов, что делает бесполезными классические сигнатуры, основанные на репутации фишинговых URL или анализе трафика на сетевом уровне.
Для SOC-команд это создаёт критические операционные сложности. Обнаружение смещается с момента кражи учётных данных на этап последующей подозрительной активности внутри облачных сервисов, что значительно увеличивает время обнаружения (MTTD) и реагирования (MTTR). Расследование инцидента усложняется, так как аналитикам приходится реконструировать цепочку на основе токенов, а не факта компрометации пароля. Последствия для бизнеса могут быть тяжелыми: от утечки конфиденциальной переписки и документов до мошеннических операций через Business Email Compromise (BEC) и долговременного закрепления в системе через refresh-токены.
Противодействие таким атакам требует пересмотра подходов к мониторингу. Ключевым становится наличие инструментов, обеспечивающих глубокую инспекцию зашифрованного трафика. Современные песочницы (sandbox), такие как ANY.RUN, решают эту задачу с помощью автоматической дешифровки SSL/TLS путём извлечения ключей из памяти процессов во время выполнения подозрительного кода. Это позволяет выявить скрытые JavaScript-лоадеры, запросы к управляющей инфраструктуре и конкретные артефакты, например, обращения к API /api/device/start, которые являются высоконадёжными индикаторами компрометации (IOC).
Защита от фишинга на основе OAuth Device Code должна быть многоуровневой. Во-первых, необходима постоянная актуализация угрозовых данных (Threat Intelligence) для раннего выявления новой фишинговой инфраструктуры. Во-вторых, критически важна скорость триажа подозрительных ссылок с помощью интерактивных песочниц, что позволяет быстро подтверждать угрозу и сокращать время реакции. В-третьих, аналитики должны применять методы проактивного поиска угроз (Threat Hunting), используя обнаруженные IOC для поиска связанных активов в рамках всей кампании. Дополнительной мерой безопасности может стать настройка политик Conditional Access в Microsoft Entra ID, ограничивающих использование потока Device Code или требующих дополнительных проверок для его применения.
В зоне повышенного риска находятся компании из технологического, образовательного, производственного и государственного секторов, при этом наибольшее количество атак наблюдается в США и Индии. Эволюция фишинговых методик в сторону эксплуатации легитимных функций облачных провайдеров - это устойчивый тренд. OAuth Device Code Phishing наглядно демонстрирует, как злоумышленники смещают фокус с endpoints на identity-уровень, атакуя не устройства пользователей, но их цифровые идентификаторы в доверенных сервисах. В ответ SOC-командам необходимо развивать возможности для анализа поведения на уровне токенов и транзакций в облачных средах, поскольку традиционные периметровые средства защиты в такой парадигме теряют свою эффективность.
Индикаторы компрометации
Domains
- aarathe-ramraj-tipgroup-com-au-s-account.workers.dev
- ab-monvoisinproduction-com-s-account.workers.dev
- aiinnovationsfly.com
- andy-bardigans-com-s-account.workers.dev
- astrolinktech.com
- dennis-saltertrusss-com-s-account.workers.dev
- dibafef289.workers.dev
- rockymountainhi.workers.dev
- sandra-solorzano-duncanfamilyfarms-net-s-account.workers.dev
- singer-bodners-bau-at-s-account.workers.dev
- subzero908.workers.dev
- tyler2miler-proton-me-s-account.workers.dev
- workspace1717-outlook-com-s-account.workers.dev
