Device Code Phishing атакува Microsoft 365. OAuth токени дават постоянен достъп
Активна phishing кампания таргетира Microsoft 365 акаунти в над 340 организации, използвайки device code автентикация и злоупотреба с OAuth токени за дълготраен достъп.
Кампанията се наблюдава от февруари 2026 г. и засяга организации в САЩ, Канада, Австралия, Нова Зеландия и Германия, включително сектори като финанси, здравеопазване, държавна администрация и производство.
Това, което я отличава, не е само мащабът.
А начинът, по който се използва легитимна автентикация.
Какво представлява кампанията
Атакуващите използват device code phishing, за да накарат потребителите сами да се автентикират чрез реални Microsoft страници.
Кампанията комбинира:
- фишинг имейли с реалистични сценарии (DocuSign, гласови съобщения, оферти)
- многостепенни redirect вериги през доверени услуги
- инфраструктура върху Cloudflare Workers и Railway (PaaS)
- автоматично генериране на device code в самите phishing страници
Резултатът е надежден механизъм за получаване на достъп.
Как работи атаката
Техниката използва OAuth device authorization flow.
Процесът:
- Атакуващият генерира device code чрез Microsoft Entra ID
- Жертвата бива насочена към легитимна Microsoft страница
- Въвежда кода и преминава автентикация (вкл. MFA)
- Генерират се OAuth токени, достъпни за атакуващия
След това:
достъпът остава активен дори след смяна на паролата.
Инфраструктура и заобикаляне на защити
Кампанията използва комбинация от техники:
- redirect вериги през легитимни security услуги
- компрометирани сайтове и serverless платформи
- Cloudflare Workers за хостване на phishing логика
- Railway инфраструктура за управление на сесиите
Засечена е концентрация на логини от конкретни Railway IP адреси.
Phishing-as-a-Service модел
Кампанията е свързана с платформа EvilTokens.
Тя предлага:
- автоматизация на phishing кампании
- инструменти за изпращане на имейли
- redirect инфраструктура
- поддръжка и обновления
Това ускорява разпространението на атаките.
Защо това е важно
Тази техника променя начина, по който трябва да се мисли за защита на идентичността.
Три извода:
1. MFA не е достатъчно
Потребителят се автентикира сам в легитимна среда.
2. Токените са новата цел
Контролът се прехвърля от паролата към сесията.
3. Доверени услуги се използват като прикритие
Cloud инфраструктурата помага за заобикаляне на защитите.
DIAMATIX Perspective
Тази кампания показва ясна еволюция.
От кражба на пароли към кражба на сесии.
Атаката не заобикаля автентикацията.
Тя я използва.
Основният проблем е липсата на видимост.
Организациите често не засичат:
- необичайно издаване на токени
- логини от нетипична инфраструктура
- дълготрайни OAuth сесии
Смяната на парола не решава проблема.
Ефективният отговор включва:
- мониторинг на identity ниво, включително токени
- откриване на нетипични device code процеси
- незабавно отнемане на refresh токени
- корелация между email, identity и endpoint сигнали
Фокусът трябва да се измести към контекста на автентикацията.
Източници
Huntress. Анализ на кампанията (март 2026)
Microsoft. Данни за device code phishing техники
Volexity. Анализи на OAuth злоупотреби
Proofpoint / Amazon Threat Intelligence. Подобни кампании
Palo Alto Networks Unit 42. Анализ на evasion техники
Статията е базирана на публично достъпна информация към март 2026 г.
Получавайте актуални новини и експертни анализи за киберсигурност
