Russische hackers maken misbruik van legitieme OAuth 2.0-authenticatieprocessen om Microsoft 365-accounts over te nemen van medewerkers van organisaties die verbonden zijn met Oekraïne en mensenrechten.
De hackers doen zich voor als functionarissen uit Europese landen en benaderen hun doelwitten via de berichtenapps WhatsApp en Signal. Het doel is om potentiële slachtoffers ertoe te bewegen Microsoft-autorisatiecodes af te staan die toegang geven tot accounts. Of op kwaadaardige links te klikken die inloggegevens en eenmalige toegangscodes verzamelen.
Cybersecuritybedrijf Volexity observeert deze activiteit sinds begin maart. Dit was vlak na een soortgelijke operatie die Volexity en Microsoft in februari meldden. Toen maakten cybercriminelen gebruik van phishing via Device Code Authentication om Microsoft 365-accounts te stelen. Volexity volgt de dreigingsactoren achter beide campagnes onder de namen UTA0352 en UTA0355. Het bedrijf schat in dat beide afkomstig zijn uit Rusland.
Gehackt account Oekraïense overheid
In een vandaag gepubliceerd rapport beschrijven de onderzoekers dat de aanval begint met een bericht via Signal of WhatsApp. In één geval was sprake van communicatie vanuit een gehackt account van de Oekraïense overheid.
De aanvaller deed zich voor als een Europese politieke functionaris. Of als een Oekraïense diplomaat en nodigde het doelwit uit voor een besloten videogesprek over Oekraïne-gerelateerde zaken. Zodra er contact is gelegd, stuurt de aanvaller een phishing-URL gebaseerd op OAuth, zogenaamd nodig om deel te nemen aan het videogesprek.
UTA0352 kan ook instructies meesturen in de vorm van een PDF-bestand. Dit gaat gepaard met met een kwaadaardige URL die het slachtoffer naar een inlogpagina leidt voor Microsoft en apps van derden die gebruikmaken van Microsoft 365 OAuth-processen. Na authenticatie wordt het slachtoffer omgeleid naar een in-browser versie van Visual Studio Code, gehost op insiders.vscode.dev. Deze landingspagina kan inlogparameters van Microsoft 365 ontvangen, waaronder OAuth. Het slachtoffer krijgt vervolgens een dialoogvenster te zien.
Social engineering
Door middel van social engineering probeert de aanvaller het slachtoffer ertoe te bewegen de code terug te sturen, onder het voorwendsel dat deze nodig is om deel te nemen aan het gesprek.
In werkelijkheid is deze tekenreeks een autorisatiecode die zestig dagen geldig is en waarmee een toegangstoken kan worden verkregen voor alle bronnen waar de gebruiker normaal toegang toe heeft.
Volgens Volexity was het opvallend dat deze code ook zichtbaar was in de adresbalk van de browser-URI. Visual Studio Code leek zo te zijn ingericht dat het gemakkelijker werd om de code te kopiëren en te delen, terwijl andere toepassingen in dergelijke gevallen gewoon een lege pagina zouden tonen.