Phishing kampania powiązana z Rosją atakuje konta Microsoft 365
Grupa podejrzewana o powiązania z Rosją jest odpowiedzialna za kampanię phishingową, która wykorzystuje procesy uwierzytelniania z kodem urządzenia w celu kradzieży danych logowania do Microsoft 365 i przejęcia kont ofiar.
Działania te, które trwają od września 2025 roku, są monitorowane przez firmę Proofpoint pod nazwą UNK_AcademicFlare.
Strategia ataków
Ataki polegają na wykorzystaniu skompromitowanych adresów e-mail przynależących do organizacji rządowych i wojskowych, aby uderzać w instytucje w sektorze rządowym, grupach badawczych, szkolnictwie wyższym i transporcie zarówno w USA, jak i Europie.
„Zazwyczaj te skompromitowane adresy e-mail są używane do prowadzenia niewinnych działań oraz budowania relacji związanych z dziedziną specjalizacji celów w celu umówienia fikcyjnego spotkania lub wywiadu,” powiedziała firma zajmująca się bezpieczeństwem informatycznym.
W ramach tych działań napastnik twierdzi, że przesyła link do dokumentu zawierającego pytania lub tematy do zapoznania się przed spotkaniem. URL wskazuje na adres URL usługi Cloudflare Worker, który naśladuje konto Microsoft OneDrive skompromitowanego nadawcy i instruuje ofiarę, aby skopiowała dostarczony kod i kliknęła „Dalej”, aby uzyskać dostęp do rzekomego dokumentu.
Jak atak działa
Jednak kliknięcie w ten link przekierowuje użytkownika do legalnego adresu logowania Microsoft z kodem urządzenia, gdzie po wprowadzeniu wcześniej podanego kodu, usługa generuje token dostępu, który może być odzyskany przez trzech napastników w celu przejęcia kontroli nad kontem ofiary.
Ataki wykorzystujące phishing urządzeń były szczegółowo opisane przez Microsoft i Volexity w lutym 2025 roku. Metodę tę przypisano rosyjskim grupom, takim jak Storm-2372, APT29, UTA0304 oraz UTA0307. W ciągu ostatnich kilku miesięcy Amazon Threat Intelligence i Volexity ostrzegały o kontynuacji ataków prowadzonych przez rosyjskie grupy zagrożeń, które nadużywają procesu uwierzytelniania z kodem urządzenia.
Powiązania Unk_AcademicFlare
Proofpoint stwierdził, że UNK_AcademicFlare to prawdopodobnie gracz zagrożenia związany z Rosją, biorąc pod uwagę jego celowanie w specjalistów związanych z Rosją w wielu think tankach oraz organizacjach rządowych i energetycznych na Ukrainie.
Dane firmy pokazują, że wiele aktorów zagrożeń, zarówno powiązanych z państwem, jak i zmotywowanych finansowo, korzysta z taktyki phishingowej, aby oszukiwać użytkowników i uzyskiwać dostęp do kont Microsoft 365. Do tej grupy należy m.in. grupa cyberprzestępcza o nazwie TA2723, która używała w e-mailach związanych z wynagrodzeniem przynęt, aby kierować użytkowników do fałszywych stron docelowych i uruchamiać autoryzację kodem urządzenia.
Dostępność narzędzi cyberprzestępczych
Kampania z października 2025 roku oceniana jest jako wzmacniana przez łatwą dostępność ofert zbrodni, takich jak zestaw phishingowy Graphish oraz narzędzia red-teamowe, takie jak SquarePhish.
„Podobnie jak SquarePhish, narzędzie to zaprojektowano tak, aby było przyjazne dla użytkownika i nie wymagało zaawansowanej wiedzy technicznej, co obniża próg wejścia i umożliwia nawet słabiej wykwalifikowanym aktorom zagrożeń prowadzenie zaawansowanych kampanii phishingowych,” zauważył Proofpoint. „Ostatecznym celem jest nieautoryzowany dostęp do wrażliwych danych osobowych lub organizacyjnych, które mogą być wykorzystane do kradzieży poświadczeń, przejęcia konta i dalszych kompromitacji.”
Jak się bronić
Aby przeciwdziałać ryzyku związanym z phishingiem z użyciem kodu urządzenia, najlepszą opcją jest utworzenie polityki dostępu warunkowego przy użyciu warunku przepływów uwierzytelniania, aby zablokować przepływ kodu urządzenia dla wszystkich użytkowników. Jeśli to nie jest możliwe, zaleca się użycie polityki opartej na liście dozwolonych, która pozwala na uwierzytelnianie kodem urządzenia dla zatwierdzonych użytkowników, systemów operacyjnych lub zakresów IP.
