Russische hackers misbruiken Microsoft 365 OAuth-workflows voor phishingaanvallen

Achtergrond van de aanvallen

De aanvallers gebruiken geavanceerde social engineering-technieken, waarbij ze zich voordoen als diplomaten of overheidsfunctionarissen uit Europese landen zoals Bulgarije, Roemenië en Oekraïne. Via berichtenapps zoals Signal en WhatsApp nodigen ze slachtoffers uit voor een videogesprek over Oekraïne. Vervolgens sturen ze een link naar een schijnbaar legitieme Microsoft 365-inlogpagina, waar slachtoffers worden gevraagd een autorisatiecode te delen.

Nieuwe phishingtechnieken

In plaats van traditionele phishinglinks gebruiken de aanvallers legitieme Microsoft OAuth-workflows, waardoor de aanvallen moeilijker te detecteren zijn. Enkele methoden zijn:

1. Misbruik van Visual Studio Code
   • Slachtoffers krijgen een link die naar een Microsoft-inlogpagina leidt, waarna ze worden doorverwezen naar een in-browser versie van Visual Studio Code.
   • Hier wordt een autorisatiecode getoond, die de aanvaller vervolgens gebruikt om toegang tot het account te krijgen.
2. Compromittering van Oekraïense overheidsaccounts
   • In één geval gebruikten de aanvallers een gehackt Oekraïens overheidsaccount om slachtoffers uit te nodigen voor een nepconferentie over oorlogsmisdaden.
   • Na een eerste e-mail volgde contact via Signal of WhatsApp, waarbij slachtoffers werden gevraagd een Microsoft-inloglink te openen en een code terug te sturen.
3. Registratie van frauduleuze apparaten
   • Met de gestolen codes registreerden de aanvallers een nieuw apparaat in het Microsoft Entra ID (voorheen Azure AD) van het slachtoffer.
   • Vervolgens vroegen ze het slachtoffer om een tweefactorauthenticatie (2FA)-verzoek goed te keuren, waardoor ze volledige toegang tot e-mails en andere gegevens kregen.

Aanbevelingen voor bescherming

Volexity adviseert organisaties om:

• Gebruikers te trainen in het herkennen van verdachte berichten, vooral via Signal en WhatsApp.
• Toegang tot verdachte URL’s zoals insiders.vscode.dev en vscode-redirect.azurewebsites.net te blokkeren.
• Controle uit te voeren op nieuwe apparaten in Microsoft Entra ID en ongebruikelijke inlogpogingen.
• Conditionele toegangsbeleidsregels in te stellen om alleen goedgekeurde apparaten toegang te geven.

Conclusie

Deze aanvallen tonen aan dat Russische dreigingsactoren blijven innoveren in hun phishingtechnieken, waarbij ze vooral gericht zijn op organisaties die betrokken zijn bij Oekraïne en mensenrechten. Omdat de aanvallen gebruikmaken van legitieme Microsoft-diensten, zijn ze lastig te detecteren. Organisaties moeten waakzaam blijven en hun beveiligingsmaatregelen aanpassen om dergelijke bedreigingen te mitigeren.

Voor meer informatie of ondersteuning kunnen organisaties contact opnemen met Volexity via hun website.

Belangrijke bevindingen:

• Sinds begin maart 2025 hebben Russische dreigingsactoren personen en organisaties met banden met Oekraïne en mensenrechten aangevallen.
• De aanvallers gebruiken een nieuwe techniek om legitieme Microsoft OAuth 2.0-authenticatieworkflows te misbruiken.
• Ze doen zich voor als Europese overheidsfunctionarissen en gebruiken soms een gehackt Oekraïens overheidsaccount.
• Contact vindt plaats via Signal en WhatsApp, met uitnodigingen voor privévergaderingen of evenementen.
• Slachtoffers worden verleid om Microsoft-autorisatiecodes te delen, waarmee aanvallers toegang krijgen tot hun accounts.