Vários atores de ameaças, supostamente vinculados à Rússia, estão "agressivamente" mirando indivíduos e organizações com laços com a Ucrânia e direitos humanos, com o objetivo de obter acesso não autorizado a contas do Microsoft 365 desde o início de março de 2025.
As operações de engenharia social altamente direcionadas, conforme Volexity, marcam uma mudança em relação aos ataques anteriormente documentados que utilizavam uma técnica conhecida como phishing de código de dispositivo para alcançar os mesmos objetivos, indicando que adversários russos estão ativamente refinando suas práticas.
"Estes ataques recentemente observados dependem fortemente da interação um a um com o alvo, pois o ator de ameaça deve convencê-los a clicar em um link e enviar de volta um código gerado pela Microsoft", disseram os pesquisadores de segurança Charlie Gardner, Josh Duke, Matthew Meltzer, Sean Koessel, Steven Adair e Tom Lancaster em uma análise exaustiva.
Pelo menos dois clusters de ameaças diferentes, rastreados como UTA0352 e UTA0355, são avaliados como responsáveis pelos ataques, embora a possibilidade de que eles também possam estar relacionados a APT29, UTA0304 e UTA0307 não tenha sido descartada.
O conjunto mais recente de ataques é caracterizado pelo uso de uma nova técnica que visa abusar dos legítimos fluxos de autenticação OAuth 2.0 da Microsoft.
Os atores de ameaça se passam por oficiais de várias nações europeias e foram encontrados se aproveitando de uma conta comprometida do Governo Ucraniano, pelo menos em um caso, para enganar vítimas a fornecer um código OAuth gerado pela Microsoft para assumir controle de suas contas.
Apps de mensagens como Signal e WhatsApp são usados para contatar alvos, convidando-os a participar de uma chamada de vídeo ou se registrar para reuniões privadas com vários oficiais políticos nacionais europeus ou para eventos futuros centrados na Ucrânia.
Esses esforços buscam enganar as vítimas a clicar em links hospedados na infraestrutura da Microsoft 365.
"Se o alvo respondesse às mensagens, a conversa rapidamente avançaria para agendar realmente um horário acordado para a reunião", disse Volexity.
À medida que o horário da reunião acordado se aproximava, o suposto oficial político europeu faria contato novamente e compartilharia instruções sobre como participar da reunião.
As instruções assumem a forma de um documento, após o qual o suposto oficial envia um link para o alvo se juntar à reunião.
Todos esses URLs redirecionam para o portal de login oficial do Microsoft 365.
Especificamente, os links fornecidos são projetados para redirecionar para URLs oficiais da Microsoft e gerar um Token de Autorização Microsoft no processo, o qual então apareceria como parte do URI ou dentro do corpo da página de redirecionamento.
O ataque subsequente busca enganar a vítima a compartilhar o código com os atores de ameaça.
Isso é alcançado redirecionando o usuário autenticado para uma versão do navegador do Visual Studio Code em insiders.vscode[.]dev, onde o token é exibido para o usuário.
Caso a vítima compartilhe o código OAuth, o UTA0352 prossegue gerando um token de acesso que, em última análise, permite acesso à conta M365 da vítima.
Volexity disse que também observou uma iteração anterior da campanha que redireciona usuários para o site "vscode-redirect.azurewebsites[.]net", que, por sua vez, redireciona para o endereço IP local (127.0.0.1).
"Quando isso acontece, em vez de gerar uma interface de usuário com o Código de Autorização, o código só está disponível no URL", explicaram os pesquisadores.
Isso resulta em uma página em branco quando renderizada no navegador do usuário.
O atacante deve solicitar que o usuário compartilhe o URL de seu navegador para que o atacante obtenha o código. Outro ataque de engenharia social identificado no início de abril de 2025 é dito ter envolvido UTA0355 usando uma conta de email do Governo Ucraniano já comprometida para enviar e-mails de spear-phishing para alvos, seguido pelo envio de mensagens no Signal e WhatsApp.
Estas mensagens convidavam alvos a participar de uma videoconferência relacionada aos esforços da Ucrânia em investir e processar "crimes de atrocidade" e a colaboração do país com parceiros internacionais.
Embora a intenção final da atividade seja a mesma que UTA0352, há uma diferença crucial.
Os atores de ameaça, como no outro caso, abusam da legítima API de autenticação Microsoft 365 para ganhar acesso aos dados de email da vítima.
Mas o código de autorização OAuth roubado é usado para registrar um novo dispositivo no Microsoft Entra ID da vítima (anteriormente Azure Active Directory) permanentemente.
Na próxima fase, o atacante organiza uma segunda rodada de engenharia social para convencer os alvos a aprovar uma solicitação de autenticação de dois fatores (2FA) e sequestrar a conta.
"Nessa interação, o UTA0355 solicitou que a vítima aprovasse uma solicitação de 2FA para 'ganhar acesso a uma instância do SharePoint associada à conferência'", disse Volexity.
Isso foi necessário para contornar requisitos de segurança adicionais, que foram colocados pela organização da vítima, para ganhar acesso ao seu e-mail.
Para detectar e mitigar esses ataques, as organizações são aconselhadas a auditar dispositivos recém-registrados, educar os usuários sobre os riscos associados a contatos não solicitados em plataformas de mensagens e implementar políticas de acesso condicional que restrinjam o acesso a recursos organizacionais apenas para dispositivos aprovados ou gerenciados.
"Essas campanhas recentes se beneficiam de todas as interações do usuário ocorrendo na infraestrutura oficial da Microsoft; não há infraestrutura hospedada pelo atacante usada nestes ataques", acrescentou a empresa.
Da mesma forma, esses ataques não envolvem aplicativos OAuth maliciosos ou controlados pelo atacante para os quais o usuário deve conceder acesso explicitamente (e, assim, poderiam facilmente ser bloqueados pelas organizações).
O uso de aplicativos de primeira parte da Microsoft que já têm consentimento concedido provou tornar a prevenção e detecção desta técnica bastante difícil.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...