俄罗斯黑客利用微软OAuth机制通过Signal和WhatsApp攻击乌克兰盟国

自2025年3月初以来，多个疑似与俄罗斯有关的威胁组织正"激进地"针对与乌克兰及人权相关的个人和组织发起攻击，企图非法获取Microsoft 365账户访问权限。

社交工程攻击手段升级

据Volexity分析，这些高度定向的社交工程攻击与此前利用设备代码钓鱼（device code phishing）技术的攻击有所不同，表明俄罗斯黑客正在积极改进攻击手法。

安全研究人员查理·加德纳、乔什·杜克等人在详细分析中指出："近期观察到的攻击极度依赖与目标的点对点互动，攻击者必须说服目标点击链接并回传微软生成的验证码。"

目前至少发现两个威胁集群UTA0352和UTA0355参与攻击，但也不排除其与APT29（高级持续威胁29）、UTA0304和UTA0307存在关联的可能性。

新型OAuth 2.0认证滥用技术

最新攻击采用了一种旨在滥用微软合法OAuth 2.0认证流程的新技术。攻击者冒充欧洲多国官员，并至少在一个案例中利用被入侵的乌克兰政府账户，诱骗受害者提供微软生成的OAuth代码以控制其账户。

攻击者通过Signal和WhatsApp等即时通讯应用联系目标，邀请其参加视频会议或注册与欧洲政要的私人会面，以及以乌克兰为主题的即将举行的活动。这些手段旨在诱使受害者点击托管在微软365基础设施上的链接。

Volexity表示："如果目标回复消息，对话会迅速推进到实际约定会议时间。当约定时间临近时，冒充的欧洲政要会再次联系，并分享参会指引。"

精心设计的认证窃取流程

指引以文档形式呈现，随后"官员"会向目标发送会议链接。这些URL最终都会重定向至微软365的官方登录门户。

具体而言，这些链接会重定向至微软官方URL，并在过程中生成微软授权令牌（Microsoft Authorization Token），该令牌会显示在URI或重定向页面正文中。攻击随后会诱骗受害者向攻击者分享该代码。

攻击者通过将认证用户重定向至insiders.vscode[.]dev的Visual Studio Code浏览器版实现这一目的，令牌会在此展示给用户。若受害者分享OAuth代码，UTA0352将生成访问令牌，最终控制受害者的M365账户。

Volexity还观察到早期攻击版本会将用户重定向至"vscode-redirect.azurewebsites[.]net"网站，该网站继而重定向至本地IP地址(127.0.0.1)。

研究人员解释："此时授权代码不会显示在用户界面，仅存在于URL中。用户浏览器会呈现空白页面。攻击者必须要求用户分享浏览器URL才能获取代码。"

双重认证劫持新手法

2025年4月初发现的另一起社交工程攻击中，UTA0355使用已被入侵的乌克兰政府邮箱向目标发送鱼叉式钓鱼邮件，随后通过Signal和WhatsApp发送消息。

这些消息邀请目标参加关于乌克兰"暴行罪"调查起诉及国际合作事项的视频会议。虽然最终目的与UTA0352相同，但存在关键差异。

与其他案例类似，攻击者滥用微软365认证API获取受害者邮件数据。但窃取的OAuth授权代码被用于在受害者微软Entra ID（原Azure Active Directory）中永久注册新设备。

随后攻击者发起第二轮社交工程，说服目标批准双重认证(2FA)请求以劫持账户。Volexity表示："在此过程中，UTA0355要求受害者批准2FA请求以'获取会议相关SharePoint实例的访问权限'，这旨在绕过受害者组织设置的其他安全要求以访问其邮箱。"

防御建议

为检测和缓解此类攻击，建议组织采取以下措施：

• 审计新注册设备
• 教育用户警惕即时通讯平台的非主动联络风险
• 实施条件访问策略，仅允许经批准或管理的设备访问组织资源

Volexity补充道："近期攻击活动全部利用微软官方基础设施进行用户交互，未使用攻击者自建基础设施。这些攻击也不涉及需用户显式授权的恶意OAuth应用（此类应用易被组织拦截）。由于使用已获授权的微软第一方应用，使得该技术的预防和检测相当困难。"

参考来源：

Russian Hackers Exploit Microsoft OAuth to Target Ukraine Allies via Signal and WhatsApp