Beberapa dugaan aktor ancaman terkait Rusia “agresif” menargetkan individu dan organisasi yang memiliki hubungan dengan Ukraina dan hak asasi manusia dengan tujuan untuk mendapatkan akses yang tidak sah ke akun Microsoft 365 sejak awal Maret 2025.
Operasi rekayasa sosial yang sangat ditargetkan, per Volexity, adalah pergeseran dari serangan yang sebelumnya terdokumentasi yang memanfaatkan teknik yang dikenal sebagai phishing kode perangkat untuk mencapai tujuan yang sama, menunjukkan bahwa musuh Rusia secara aktif menyempurnakan tradecraft mereka.
“Serangan yang baru-baru ini diamati ini sangat bergantung pada interaksi satu-satu dengan target, karena aktor ancaman keduanya harus meyakinkan mereka untuk mengklik tautan dan mengirim kembali kode yang dihasilkan Microsoft,” peneliti keamanan Charlie Gardner, Josh Duke, Matthew Meltzer, Sean Koessel, Steven Adair, dan Tom Lancaster dalam analisis yang kelelahan.
Setidaknya dua kelompok ancaman yang berbeda dilacak sebagai UTA0352 Dan UTA0355 dinilai berada di belakang serangan, meskipun kemungkinan bahwa mereka juga bisa terkait dengan APT29, UTA0304, dan UTA0307 belum dikesampingkan.
Set serangan terbaru ditandai dengan penggunaan teknik baru yang bertujuan menyalahgunakan alur kerja otentikasi Microsoft OAuth 2.0 yang sah. Aktor ancaman menyamar sebagai pejabat dari berbagai negara Eropa dan telah ditemukan untuk mengambil keuntungan dari akun pemerintah Ukraina yang dikompromikan setidaknya dalam satu kasus untuk menipu para korban agar menyediakan kode OAuth yang dihasilkan Microsoft untuk mengendalikan akun mereka.
Aplikasi pesan seperti Signal dan WhatsApp digunakan untuk menghubungi target, mengundang mereka untuk bergabung dengan panggilan video atau mendaftar untuk pertemuan pribadi dengan berbagai pejabat politik Eropa nasional atau untuk acara mendatang yang berpusat di sekitar Ukraina. Upaya -upaya ini berupaya menipu para korban untuk mengklik tautan yang di -host pada infrastruktur Microsoft 365.
“Jika target menanggapi pesan, percakapan akan dengan cepat berkembang menuju penjadwalan waktu yang disepakati untuk pertemuan itu,” kata Volexity. “Ketika waktu pertemuan yang disepakati mendekat, pejabat politik Eropa yang diakui akan melakukan kontak lagi dan berbagi instruksi tentang cara bergabung dengan pertemuan itu.”
Instruksi mengambil bentuk dokumen, setelah itu pejabat yang seharusnya mengirim tautan ke target untuk bergabung dengan rapat. URL ini semuanya mengalihkan ke portal login resmi untuk Microsoft 365.
Secara khusus, tautan yang disediakan dirancang untuk mengarahkan ke URL Microsoft resmi dan menghasilkan token otorisasi Microsoft dalam proses, yang kemudian akan muncul sebagai bagian dari URI atau di dalam badan halaman pengalihan. Serangan itu kemudian berupaya menipu korban agar berbagi kode dengan aktor ancaman.
Ini dicapai dengan mengarahkan ulang pengguna yang diautentikasi ke versi in-browser dari kode studio visual di insiders.vscode[.]dev di mana token ditampilkan kepada pengguna. Jika korban membagikan kode OAuth, UTA0352 hasil untuk menghasilkan token akses yang pada akhirnya memungkinkan akses ke akun M365 korban.
Volexity mengatakan juga mengamati iterasi sebelumnya dari kampanye yang mengarahkan pengguna ke situs web “vscode-redirect.azurewebsites[.]net, “yang, pada gilirannya, mengarahkan kembali ke alamat IP localhost (127.0.0.1).
“Ketika ini terjadi, alih -alih menghasilkan antarmuka pengguna dengan kode otorisasi, kode hanya tersedia di URL,” jelas para peneliti. “Ini menghasilkan halaman kosong ketika diterjemahkan di browser pengguna. Penyerang harus meminta pengguna berbagi URL dari browser mereka agar penyerang mendapatkan kode.”
Serangan teknik sosial lain yang diidentifikasi pada awal April 2025 dikatakan telah melibatkan UTA0355 menggunakan akun email pemerintah Ukraina yang sudah dikompromikan untuk mengirim email phishing tombak ke target, diikuti dengan mengirim pesan pada sinyal dan whatsapp.
Pesan -pesan ini mengundang target untuk bergabung dengan konferensi video yang terkait dengan upaya Ukraina mengenai investasi dan penuntutan “kejahatan kekejaman” dan kolaborasi negara dengan mitra internasional. Sementara niat akhir dari kegiatan ini sama dengan UTA0352, ada perbedaan penting.
Aktor ancaman, seperti dalam contoh lain, menyalahgunakan API otentikasi Microsoft 365 yang sah untuk mendapatkan akses ke data email korban. Tetapi kode otorisasi OAuth yang dicuri digunakan untuk mendaftarkan perangkat baru ke ID Microsoft Entra korban (sebelumnya Azure Active Directory) secara permanen.
Pada fase berikutnya, penyerang mengatur putaran kedua rekayasa sosial untuk meyakinkan target untuk menyetujui permintaan otentikasi dua faktor dan membajak akun.
“Dalam interaksi ini, UTA0355 meminta agar korban menyetujui permintaan otentikasi dua faktor (2FA) untuk 'mendapatkan akses ke contoh SharePoint yang terkait dengan konferensi,'” kata Volexity. “Ini diperlukan untuk memotong persyaratan keamanan tambahan, yang diberlakukan oleh organisasi korban, untuk mendapatkan akses ke email mereka.”
Apa yang juga membuat serangan sangat efektif adalah bahwa aktivitas login, akses email, dan pendaftaran perangkat dialihkan melalui jaringan proxy yang di geolocated agar sesuai dengan lokasi korban, semakin memperumit upaya deteksi.
Untuk mendeteksi dan mengurangi serangan ini, organisasi disarankan untuk mengaudit perangkat yang baru terdaftar, mendidik pengguna tentang risiko yang terkait dengan kontak yang tidak diminta pada platform pesan, dan mengimplementasikan kebijakan akses bersyarat yang membatasi akses ke sumber daya organisasi hanya untuk perangkat yang disetujui atau dikelola.
“Kampanye baru-baru ini mendapat manfaat dari semua interaksi pengguna yang terjadi pada infrastruktur resmi Microsoft; tidak ada infrastruktur yang diselenggarakan oleh penyerang yang digunakan dalam serangan ini,” tambah perusahaan itu.
“Demikian pula, serangan ini tidak melibatkan aplikasi OAuth yang berbahaya atau dikendalikan oleh penyerang di mana pengguna harus secara eksplisit memberikan akses (dan dengan demikian dapat dengan mudah diblokir oleh organisasi). Penggunaan aplikasi pihak pertama Microsoft yang sudah sulit diberikan telah terbukti untuk membuat pencegahan dan deteksi teknik ini agak sulit.”
