Kyberrikolliset ovat alkaneet käyttää hyväkseen OAuth 2.0 -tunnistautumisprosessia kaapatakseen Microsoft 365 -käyttäjien tilejä. Hyökkäykset kohdistuvat erityisesti Ukrainan ja ihmisoikeusjärjestöjen kanssa tekemisissä oleviin organisaatioihin. Hyökkääjät esiintyvät eurooppalaisina viranomaisina ja ottavat yhteyttä uhreihin viestipalveluiden, kuten WhatsAppin ja Signal, kautta. He houkuttelevat uhreja antamaan Microsoftin valtuutuskoodin tai klikkaamaan haitallisia linkkejä, jotka keräävät kirjautumistietoja ja kertakäyttöisiä koodeja.
Kyberturvallisuusyritys Volexity on havainnut tämän toiminnan maaliskuun alusta lähtien. Hyökkäykset muistuttavat aiempia kampanjoita, joissa käytettiin laitekoodeihin perustuvaa tunnistautumista Microsoft 365 -tilien kaappaamiseen. Volexity seuraa näitä uhkatoimijoita tunnisteilla UTA0352 ja UTA0355 ja arvioi, että ne ovat todennäköisesti venäläisiä toimijoita.
Hyökkäys alkaa viestillä, joka lähetetään Signal- tai WhatsApp-palvelun kautta. Joissakin tapauksissa viestit on lähetetty kaapatuista Ukrainan hallituksen tileistä. Viestien tarkoituksena on saada uhri antamaan valtuutuskoodi tai klikkaamaan linkkiä, joka johtaa haitalliselle sivustolle. Kun uhri antaa valtuutuksen, hyökkääjät saavat pääsyn Microsoft 365 -tiliin ja voivat käyttää sen sisältöä, kuten sähköposteja ja tiedostoja.
Tämä hyökkäystapa on erityisen vaarallinen, koska se ei vaadi uhrin salasanaa, vaan perustuu valtuutuskoodin hyväksymiseen. Hyökkääjät voivat käyttää tätä menetelmää saadakseen pitkäaikaisen pääsyn uhrin tilille ilman, että uhri huomaa mitään epäilyttävää.
Microsoft suosittelee käyttäjiä olemaan varovaisia valtuutuskoodien kanssa ja tarkistamaan huolellisesti, mille sovelluksille he antavat käyttöoikeuksia. Organisaatioiden tulisi rajoittaa kolmannen osapuolen sovellusten käyttöoikeuksia ja seurata aktiivisesti tilien käyttöä epäilyttävän toiminnan havaitsemiseksi.
