Хакери таргетираат Microsoft Entra сметки со „device code“ vishing напади

Заканувачки актери таргетираат организации во технолошкиот, производствениот и финансискиот сектор, користејќи комбинација од device code phishing и voice phishing (vishing) за злоупотреба на OAuth 2.0 Device Authorization протоколот и компромитирање на Microsoft Entra сметки.

За разлика од претходните напади кои користеле злонамерни OAuth апликации, овие кампањи користат легитимни Microsoft OAuth client IDs и device authorization протоколот за да ги измамат жртвите да се автентикираат.

Ова им обезбедува на напаѓачите валидни authentication tokens, кои може да се користат за пристап до сметката на жртвата без да се потребни традиционални фишинг страници за кражба на лозинки или интерцептирање на multi-factor authentication (MFA) кодови.

Според извор за BleepingComputer, се верува дека зад новите device code vishing напади стои изнудувачката група ShinyHunters, што подоцна беше потврдено од заканувачите, иако BleepingComputer не можела независно да ја потврди оваа информација.

ShinyHunters неодамна беше поврзана со vishing напади користени за компромитирање на Okta и Microsoft Entra SSO сметки со цел кражба на податоци.

Device code социјален инженеринг

Според повеќе извори, заканувачите почнале да користат vishing социјален инженеринг напади кои не бараат инфраструктура под контрола на напаѓачот. Наместо тоа, тие користат легитимни Microsoft login форми и стандардни device code автентикациски workflows за да пробијат корпоративни сметки.

Device code phishing напад се случува кога легитимниот OAuth 2.0 device authorization протокол се злоупотребува за добивање на автентикациски токени за Microsoft Entra сметката на жртвата.

Овие токени потоа може да се користат за пристап до ресурсите на корисникот и поврзаните SSO апликации, како што се:

• Microsoft 365
• Salesforce
• Google Workspace
• Dropbox
• Adobe
• SAP
• Slack
• Zendesk
• Atlassian

Како функционира device authorization grant

Овој протокол е дизајниран за уреди со ограничени опции за внесување, како:

• IoT уреди
• Принтери
• Стриминг уреди
• Телевизори

„Microsoft identity платформата поддржува device authorization grant, кој овозможува на корисниците да се најавуваат на уреди со ограничен внес, како паметни телевизори, IoT уреди или принтери,“ објаснува Microsoft.

За да се овозможи овој проток, уредот ги упатува корисниците да посетат веб-страница на друг уред и да се најават. По успешна најавa, уредот добива access tokens и refresh tokens.

Ова е слично на најавата на стриминг сервиси, како Netflix или Apple TV, каде уредот прикажува краток код и ја упатува жртвата да го внесе на својот телефон или компјутер.

По внесувањето на кодот и автентикацијата, уредот автоматски се поврзува со сметката, без директно ракување со лозинката.

Како се изведува device-code phishing напад

1. Заканувачите требаат client_id од постоечка OAuth апликација (своја или Microsoft апликација).
2. Со open-source алатки генерираат device_code и user_code.
3. Комуницираат со таргетиран вработен и го убедуваат да го внесе генерираниот user_code на Microsoft device authentication страницата: microsoft.com/devicelogin.

Овој метод им овозможува на напаѓачите легален, но измамен пристап до корпоративни сметки без директна кражба на лозинка.

Кога таргетираната личност ќе го внесе кодот, ќе ѝ биде побарано да се најави со своите креденцијали и да ги заврши сите MFA (multi-factor authentication) проверки, исто како при нормална најава. По успешната автентикација, Microsoft го прикажува името на OAuth апликацијата што е овластена.

Сепак, бидејќи заканувачите можат да користат легитимни апликации — дури и апликации од самиот Microsoft — ова му дава дополнителна легитимност и доверба на процесот на автентикација, што ја прави измамата потешко препознатлива за жртвата.

Откако OAuth апликацијата ќе се поврзе со сметка, напаѓачите можат да користат device_code за да ја добијат refresh token на таргетираните вработени, која потоа може да се замени за access tokens.

Овие access tokens им овозможуваат на напаѓачите да пристапат до Microsoft услугите на вработениот без повторно да ја завршуваат multi-factor authentication (MFA), бидејќи MFA веќе била завршена при првото најавување.

Напаѓачите сега можат да се аутентицираат како корисник во Microsoft Entra и да пристапат до SaaS апликации конфигурирани со SSO (single sign-on) во тенантот на жртвата, овозможувајќи кражба на корпоративни податоци за изнудување.

KnowBe4 Threat Labs исто така открија недавна кампања која користи традиционални phishing е-пошта и веб-страници за да изврши напади со device code.

Компанијата ја забележала кампањата во декември 2025 година и изјавила дека таа силно се потпира на социјално инженерство, како што се лажни предупредувања за конфигурација на плаќање, известувања за споделување документи и лажни известувања за гласовна пошта.

KnowBe4 препорачува на сопствениците на Microsoft 365 сметки да ги блокираат злонамерните домени и адреси на испраќачи, да ги ревидираат и поништат сомнителните OAuth апликациски дозволи и да ги прегледаат Azure AD логовите за најавување за настани поврзани со device code аутентикација.

Администраторите исто така се советуваат да ја исклучат опцијата за device code flow кога не е потребна и да спроведат conditional access политики.

Device code phishing не е новост, бидејќи повеќе напаѓачи во минатото ја користеле оваа метода за пробивање на сметки.

Во февруари 2025 година, Microsoft Threat Intelligence Center предупреди дека руски хакери таргетираат Microsoft 365 сметки користејќи device code phishing.

Во декември, ProofPoint пријави слични напади кои користеле ист или сличен phishing kit што го видел и KnowBe4 за пробивање на Microsoft сметки.

Извори:

• Bleeping Computer – Hackers target Microsoft Entra accounts in device code vishing attacks Bleeping Computer