В начале 2025 года Volexity опубликовала две статьи, в которых подробно описала новую тенденцию среди российских субъектов угроз: для получения доступа к учётным записям пользователей Microsoft злоумышленники атаковали организации, злоупотребляя сценариями Microsoft 365 OAuth и аутентификации по коду устройства (Device Code). Несмотря на публичное раскрытие этой активности, Volexity продолжает наблюдать, как российские субъекты угроз применяют схожие техники для интенсивных атак как на среды Microsoft, так и на среды Google.
Сами техники остаются похожими, однако меняются способы и легенды, с помощью которых злоумышленники выбирают цели и воздействуют на пользователей методами социальной инженерии.
В этой статье Volexity рассматривает две новые кампании, в которых злоумышленники использовали сценарии OAuth и Device Code для фишинга данных доступа конечных пользователей. В рамках атак создавались поддельные сайты, маскировавшиеся под реальные международные мероприятия по вопросам безопасности, проходившие в Европе. Цель состояла в том, чтобы убедить зарегистрировавшихся участников предоставить несанкционированный доступ к своим учётным записям. В кампаниях, которые наблюдала Volexity, использовались следующие реальные мероприятия:
-
Belgrade Security Conference — 17–19 ноября 2025 года;
-
Brussels Indo-Pacific Dialogue — 2 декабря 2025 года.
Чтобы повысить вероятность успеха, злоумышленники применяли несколько методов:
-
Фишинг с предварительным установлением доверия. Злоумышленник часто сначала налаживает общение с жертвой. На первом этапе никаких вредоносных материалов не отправляется. Фишинговая ссылка появляется позднее — после того, как выбранный пользователь подтвердит свой интерес.
-
Поддельные сайты. Злоумышленник создаёт отдельные, аккуратно оформленные и профессионально выглядящие сайты, помогающие проводить атаки.
-
Сопровождение пользователей через WhatsApp или Signal. Злоумышленник предлагает цели «поддержку в реальном времени», чтобы пользователь правильно отправил ему URL, необходимый для завершения OAuth-фишинга.
Volexity связывает эти новые кампании с российским субъектом угроз, которого отслеживает под идентификатором UTA0355. Это тот же субъект, о котором Volexity сообщала в апреле 2025 года.
Belgrade Security Conference
В октябре 2025 года Volexity расследовала инцидент, в ходе которого учётная запись пользователя Microsoft 365 была признана скомпрометированной после обнаружения аномальной активности при входе. Расследование показало, что пользователь получил целевое фишинговое письмо, ведущее к сценарию OAuth-аутентификации. Письмо пришло из учётной записи, с владельцем которой пользователь недавно переписывался, и продолжало существующую легитимную цепочку сообщений, посвящённую предстоящей Belgrade Security Conference в Сербии.
Этот способ фишинга также требовал, чтобы атакуемый пользователь отправил злоумышленнику сгенерированный Microsoft код, находившийся в адресной строке браузера. В электронной переписке не было указаний, что именно следует сделать с этим кодом, поэтому Volexity предположила, что злоумышленник общался с жертвой за пределами электронной почты.
Совместно с заказчиком Volexity выяснила, что субъект угроз активно общался с выбранным пользователем в WhatsApp. Злоумышленник связался с ним от имени двух разных людей, имевших отношение к Belgrade Security Conference; учётные записи обоих были скомпрометированы. Первый собеседник в WhatsApp лишь предупредил пользователя, что вскоре с ним свяжется его «коллега».
Затем второй собеседник в WhatsApp представился этим коллегой — человеком, участвовавшим в почтовой переписке, — и подготовил пользователя к получению письма с приглашением.
После этого злоумышленник применил фишинг с предварительным установлением доверия: сначала поддерживал безобидную беседу, а позднее отправил приглашение зарегистрироваться для получения информационных материалов Belgrade Security Conference, как показано ниже.
Гиперссылка из приведённого выше письма вела на принадлежащий Microsoft URL, который можно было использовать в рамках OAuth-фишинга:
https://login.microsoft[.]com/common/oauth2/authorize?client_id=29d9ed98-a469-4536-ade2-f981bc1d605e&resource=01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9&redirect_uri=https%3A%2F%2Flogin.microsoftonline.com%2FWebApp%2FCloudDomainJoin%2F8&response_type=code&amr_values=ngcmfa&login_hint=[user]
После того как выбранный пользователь выполнил вход, он оказался на пустой веб-странице, URL которой содержал OAuth-токен. Под предлогом «завершения регистрации» злоумышленник попросил пользователя отправить этот URL, чтобы закончить процесс.
После успешного фишинга злоумышленник использовал учётную запись Microsoft жертвы для доступа к множеству файлов через Microsoft 365. Среди примечательных особенностей этой активности Volexity выделила следующие:
-
для доступа к данным использовалось устройство с именем
DESKTOP-[REDACTED]; -
для сохранения доступа к учётной записи в Microsoft Entra ID было создано новое устройство. Ему присвоили то же имя, что и уже существующему устройству пользователя. Например, если устройство пользователя называлось
Charles E. Cheese’s iPhone, вновь зарегистрированное устройство получало такое же имя; -
в запросах использовался следующий User-Agent:
Dalvik/2.1.0 (Linux; U; Android 14; 2211133C Build/UKQ1.230705.002) ;Xiaomi.
В данном случае особенно примечательно, что доступ с устройства, названного «iPhone», выполнялся с аппарата, выдававшего себя за телефон на Android.
Расширение фишинговой операции
Вскоре после этой тщательно нацеленной операции Volexity зафиксировала более широкую кампанию, проводившуюся с созданной злоумышленником учётной записи Gmail. В ноябре 2025 года с неё рассылались целевые фишинговые письма различным адресатам среди клиентов Volexity. Все сообщения содержали ссылку на недавно созданный сайт bsc2025[.]org, маскировавшийся под отдельный домен Belgrade Security Conference. Поддельная страница показана ниже.
В фишинговом письме пользователям предлагалось зарегистрироваться на мероприятие через этот сайт. В ходе регистрации появлялось сообщение о необходимости указать «корпоративный адрес электронной почты», а не «личный», как показано ниже.
Регистрация на мероприятие через bsc2025[.]org с использованием корпоративной учётной записи приводила к одному из двух сценариев:
-
Если домен указанного адреса электронной почты не представлял интереса для злоумышленника, сайт устанавливал cookie-файл
cookie_reg, содержащий адрес регистрирующегося пользователя в кодировке Base64. Затем пользователя перенаправляли на страницу с сообщением об успешной регистрации и его «регистрационными» данными. -
Если домен адреса электронной почты представлял интерес для злоумышленника, устанавливался тот же cookie-файл
cookie_reg, а регистрационные данные пользователя сохранялись. Однако затем пользователя перенаправляли в фишинговый сценарий Microsoft 365, где ему предлагалось выполнить вход по URL следующего формата:
https://login.microsoftonline[.]com/common/reprocess?ctx=rQQIARAAJU3P[snipped]m5T2D81&sessionId=941739c9[snipped]2e06bf63f947
Для пользователя эта страница выглядела как настоящая форма входа Microsoft 365. Единственным признаком фишинга было показанное ниже диалоговое окно Microsoft Authentication Broker, которое появлялось после завершения аутентификации в сервисах Microsoft.
Volexity отмечает, что Microsoft Authentication Broker — это то же приложение, которое по умолчанию настроено в доступном на GitHub проекте DeviceCodePhishing. Когда специалисты Volexity передали злоумышленнику данные тестовой учётной записи-приманки, они зафиксировали последующие попытки активности с домашнего IP-адреса Comcast в США. По данным Spur, этот адрес относился к прокси-сети.
Brussels Indo-Pacific Dialogue
В тот же период Volexity отслеживала отдельную кампанию, также связанную с UTA0355. Во второй кампании письма якобы отправлял сотрудник Centre for Security, Diplomacy, and Strategy (CSDS) при Vrije Universiteit Brussel в Бельгии. В первых обнаруженных сообщениях получателей приглашали принять участие в предстоящем мероприятии Brussels Indo-Pacific Dialogue (BIPD).
Volexity обнаружила целевые фишинговые кампании против своих клиентов. Их целями становились люди, занимавшиеся внешней политикой, европейской тематикой либо ранее занимавшие высокие должности в правительстве США. Пример первого обращения показан ниже.
Обменявшись с выбранным пользователем несколькими письмами, отправитель присылал в следующем сообщении URL и сообщал, что для добавления пользователя в «систему BIPD» необходимо перейти по вредоносной ссылке, как показано ниже. Ссылка была уникальной для каждой цели.
На момент анализа уникальный URL уже не работал. Однако в письме злоумышленник просил при возникновении ошибки «скопировать и отправить точный URL» из браузера, что соответствует техникам фишинга OAuth-кодов.
Домен ustrs[.]com, по всей видимости, был приобретён через аукцион доменов или аналогичный сервис. Согласно WHOIS, первоначально домен был создан 5 февраля 2020 года, однако его данные обновили 31 октября 2025 года. Такой приём позволяет обходить системы оценки репутации, использующие возраст домена как индикатор риска. Ниже приведён фрагмент WHOIS-записи:
Domain Name: USTRS.COMRegistry Domain ID: 2488656711_DOMAIN_COM-VRSNRegistrar WHOIS Server: whois.dynadot.comRegistrar URL: http://www.dynadot.comUpdated Date: 2025-10-31T14:30:50.0ZCreation Date: 2020-02-05T03:19:46.0ZRegistrar Registration Expiration Date: 2026-02-05T03:19:46.0Z
В ноябре 2025 года Volexity наблюдала, как тот же отправитель связывался с другими клиентами сервиса сетевого мониторинга безопасности Volexity (NSM). На этот раз пользователям предлагали зарегистрироваться на конференцию через отдельный сайт brussels-indo-pacific-forum[.]org. Сайт выдавал себя за ресурс BIPD, как показано ниже.
При посещении сайта и попытке регистрации цель попадала в сценарий атаки, где фишинг через Device Code в Microsoft 365 маскировался под легитимный процесс регистрации. Пользователей, не представлявших интереса для злоумышленника, после успешной «регистрации» перенаправляли на страницу с регистрационными данными, показанную ниже.
Как и в кампании, использовавшей тему Belgrade Security Conference, дальнейший доступ к скомпрометированным учётным записям выполнялся через узлы прокси-сетей.
Расширение списка целей
Volexity также наблюдала несколько случаев, когда UTA0355 пытался расширить список целей, обращаясь с дополнительными просьбами к людям, которых ранее пытался атаковать с помощью целевого фишинга. Если пользователь отвечал на приглашение и сообщал, что не сможет посетить мероприятие или принять в нём участие, субъект угроз часто направлял две просьбы.
Во-первых, первоначальную цель всё равно просили зарегистрироваться, чтобы получать будущие обновления. Во-вторых, человека просили сообщить имена и адреса электронной почты коллег, которых мероприятие также могло заинтересовать. Volexity зафиксировала несколько случаев, когда UTA0355 действительно получал дополнительные контакты. По меньшей мере в одном случае ничего не подозревавший человек даже познакомил новую цель с UTA0355.
World Nuclear Exhibition
WHOIS-запись домена bsc2025[.]org, выдававшего себя за сайт Belgrade Security Conference, показала, что злоумышленник зарегистрировал домен с помощью адреса электронной почты малоизвестного сервиса mailum[.]com, как показано ниже.
Поиск других доменов, зарегистрированных с адресами того же почтового сервиса, позволил обнаружить дополнительную связанную инфраструктуру, маскировавшуюся под World Nuclear Exhibition, проходившую 4–6 ноября 2025 года. В ходе расследования Volexity обнаружила следующие домены:
-
world-nuclear-exhibition-paris[.]com; -
wne-2025[.]com; -
confirmyourflight-parisaeroport[.]com.
Volexity не смогла подтвердить, как именно использовались эти домены, однако считает возможным, что UTA0355 применял их в более ранних атаках.
Заключение
После того как в начале года Volexity описала атаки российских субъектов угроз на пользователей и организации Microsoft 365 с использованием сценариев Device Code и OAuth, компания продолжила наблюдать значительный рост числа подобных техник в тщательно нацеленных атаках. Эти сценарии были пригодны для атак уже давно, однако различные субъекты угроз, по всей видимости, стали применять их чаще и сильнее от них зависеть. Volexity предполагает, что причина заключается в высокой эффективности такого способа компрометации учётных записей.
Описанные в этой статье кампании — лишь небольшая часть атак, наблюдавшихся в течение года. По оценке Volexity, они по-прежнему весьма эффективны. Особенно хорошо они работают в сочетании с продуманными методами социальной инженерии: предварительным установлением доверия и созданием поддельных сайтов, имитирующих легитимные ресурсы.
Во время этих кампаний Volexity обратила особое внимание на следующие факторы:
-
Сценарии «регистрации» на мероприятия BIPD и BSC напоминают реальные процессы аутентификации, в которых пользователям предлагают выполнить единый вход (SSO) через различные сервисы.
-
Использование предстоящих мероприятий как предлога для начала общения также оказалось эффективным. Volexity наблюдала, как пользователи самостоятельно пересылали приглашения на мероприятия коллегам внутри организации, которые могли подойти в качестве участников. Фактически пользователи помогали злоумышленнику формировать список целей как для текущей фишинговой кампании, так и для будущих атак.
-
Использование скомпрометированных учётных записей для отправки фишинговых материалов несёт для злоумышленников риск: если получатели сообщат о фишинге первоначально скомпрометированной организации, вторжение может быть раскрыто. С другой стороны, письма из скомпрометированных учётных записей повышают убедительность атаки. Volexity со средней степенью уверенности оценивает, что это приводит к высокой доле переходов по ссылкам.
-
Продолжающееся использование WhatsApp, Signal и других мессенджеров для связи с целями до начала или непосредственно во время целевой фишинговой кампании создаёт дополнительный канал коммуникации и придаёт операции видимость легитимности.
Объём работы, необходимый для создания сайтов, имитирующих реальные мероприятия, выдачи себя за связанных с ними людей и прямого общения с пользователями в мессенджерах, показывает, что UTA0355 располагает значительными ресурсами и высоким уровнем компетенций.
В Telegram я выкладываю то, что обычно не помещается в статьи: первоисточники, скриншоты, промежуточные выводы и разборы реальных ИБ-инцидентов.
Без пересказов пресс-релизов и легенды о десятилетиях опыта — я честно показываю, как сам разбираюсь в теме, учусь и иногда меняю мнение после новых фактов.
Мой Telegram-канал: Кибербезнадёжен
ссылка на оригинал статьи https://habr.com/ru/articles/1059264/