Hackers Russos exploram Microsoft OAuth para atacar aliados da Ucrânia via Signal e WhatsApp

Múltiplos invasores ligados à Rússia estão "agressivamente" visando indivíduos e organizações com laços com a Ucrânia, com o objetivo de obter acesso não autorizado a contas do Microsoft 365 desde o início de março de 2025.

As operações de engenharia social altamente direcionadas, de acordo com a Volexity, representam uma mudança em relação aos ataques previamente documentados que utilizavam uma técnica conhecida como phishing de código de dispositivo para atingir os mesmos objetivos, indicando que adversários russos estão ativamente refinando suas táticas.

"Esses ataques observados recentemente dependem fortemente da interação individualizada com um alvo, já que o invasor deve convencê-lo a clicar em um link e enviar de volta um código gerado pela Microsoft", disseram os pesquisadores de segurança Charlie Gardner, Josh Duke, Matthew Meltzer, Sean Koessel, Steven Adair e Tom Lancaster em uma análise exaustiva.

Pelo menos dois grupos de ameaças diferentes rastreados como UTA0352 e UTA0355 são considerados os responsáveis pelos ataques, embora a possibilidade de também estarem relacionados ao APT29, UTA0304 e UTA0307 não tenha sido descartada.

A mais recente série de ataques é caracterizada pelo uso de uma nova técnica que visa abusar dos fluxos de trabalho legítimos de autenticação Microsoft OAuth 2.0. Os invasores se fazem passar por funcionários de várias nações europeias e, em pelo menos um caso, foi descoberto que eles se aproveitam de uma conta comprometida do governo ucraniano para enganar as vítimas e fazê-las fornecer um código OAuth gerado pela Microsoft para assumir o controle de suas contas.

Aplicativos de mensagens como Signal e WhatsApp são usados para entrar em contato com os alvos, convidando-os a participar de uma videochamada ou a se registrar para reuniões privadas com vários funcionários políticos nacionais europeus ou para eventos futuros centrados na Ucrânia. Esses esforços buscam enganar as vítimas para que cliquem em links hospedados na infraestrutura do Microsoft 365.

"Se o alvo respondesse às mensagens, a conversa rapidamente progrediria para o agendamento de um horário combinado para a reunião", disse a Volexity. "À medida que o horário da reunião se aproximava, o suposto funcionário político europeu entraria em contato novamente e compartilharia instruções sobre como participar da reunião."

As instruções chegam na forma de um documento, após o qual o suposto funcionário envia um link para o alvo para participar da reunião. Todos esses URLs redirecionam para o portal de login oficial do Microsoft 365.

Especificamente, os links fornecidos são projetados para redirecionar para URLs oficiais da Microsoft e gerar um token de autorização da Microsoft no processo, que então apareceria como parte do URI ou no corpo da página de redirecionamento. O ataque subsequentemente busca enganar a vítima para que compartilhe o código com os invasores.

Isso é conseguido redirecionando o usuário autenticado para uma versão no navegador do Visual Studio Code em insiders.vscode[.]dev, onde o token é exibido ao usuário. Caso a vítima compartilhe o código OAuth, o UTA0352 prossegue para gerar um token de acesso que, em última análise, permite o acesso à conta M365 da vítima.

A Volexity disse ter observado também uma iteração anterior da campanha que redireciona os usuários para o site "vscode-redirect.azurewebsites[.]net", que, por sua vez, redireciona para o endereço IP localhost (127.0.0.1).

"Quando isso acontece, em vez de gerar uma interface de usuário com o Código de Autorização, o código só está disponível na URL", explicaram os pesquisadores. "Isso gera uma página em branco quando renderizada no navegador do usuário. O invasor deve solicitar que o usuário compartilhe a URL de seu navegador para que o invasor obtenha o código."

Outro ataque de engenharia social identificado no início de abril de 2025 envolveu o UTA0355 usando uma conta de e-mail do governo ucraniano já comprometida para enviar e-mails de spear-phishing aos alvos, seguido de mensagens no Signal e WhatsApp.

Essas mensagens convidavam os alvos a participar de uma videoconferência relacionada aos esforços da Ucrânia em relação ao investimento e ao julgamento de "crimes de atrocidade" e à colaboração do país com parceiros internacionais. Embora a intenção final da atividade seja a mesma do UTA0352, há uma diferença crucial.

Os invasores, como no outro caso, abusam da API legítima de autenticação do Microsoft 365 para obter acesso aos dados de e-mail da vítima. Mas o código de autorização OAuth roubado é usado para registrar um novo dispositivo no Microsoft Entra ID (antigo Azure Active Directory) da vítima permanentemente.

Na fase seguinte, o invasor orquestra uma segunda rodada de engenharia social para convencer os alvos a aprovar uma solicitação de autenticação de dois fatores e sequestrar a conta.

"Nessa interação, o UTA0355 solicitou que a vítima aprovasse uma solicitação de autenticação de dois fatores (2FA) para 'obter acesso a uma instância do SharePoint associada à conferência'", disse a Volexity. "Isso era necessário para contornar requisitos de segurança adicionais, implementados pela organização da vítima, a fim de obter acesso ao seu e-mail."

O que também torna o ataque particularmente eficaz é que a atividade de login, acesso ao e-mail e registro de dispositivo são roteados por meio de redes de proxy geolocalizadas para corresponder à localização da vítima, complicando ainda mais os esforços de detecção.

Para detectar e mitigar esses ataques, as organizações são aconselhadas a auditar dispositivos recém-registrados, educar os usuários sobre os riscos associados a contatos não solicitados em plataformas de mensagens e implementar políticas de acesso condicional que restrinjam o acesso a recursos organizacionais apenas a dispositivos aprovados ou gerenciados.

"Essas campanhas recentes se beneficiam de todas as interações do usuário ocorrendo na infraestrutura oficial da Microsoft; não há infraestrutura hospedada pelo invasor usada nesses ataques", acrescentou a empresa.

"Da mesma forma, esses ataques não envolvem aplicativos OAuth maliciosos ou controlados por invasores para os quais o usuário deve conceder acesso explicitamente (e, portanto, poderiam ser facilmente bloqueados pelas organizações). O uso de aplicativos primários da Microsoft que já têm consentimento concedido provou dificultar bastante a prevenção e a detecção dessa técnica."

Via - THN