Эксперты по кибербезопасности из компании Proofpoint предупреждают о том, что как государственно-ориентированные, так и финансово мотивированные злоумышленники всё чаще используют уязвимость в OAuth 2.0 Device Authorization Grant для взлома учетных записей Microsoft 365.
Атаки реализуются с помощью фишинговых сообщений и обманных писем, цель которых — заставить пользователей предоставить доступ вредоносным приложениям. В результате злоумышленники получают контроль над аккаунтами, похищают данные и обеспечивают себе длительный несанкционированный доступ.
Фишинговые кампании строятся на тщательно продуманной социальной инженерии и имитации доверенных сервисов, таких как Microsoft OneDrive или внутренние системы обмена документами. Жертвы получают письма с ссылками или QR-кодами, которые перенаправляют на подлинную страницу входа Microsoft для устройств.
После открытия ссылки отображается device code, часто замаскированный под одноразовый пароль, и пользователя просят ввести его на официальной странице входа Microsoft — microsoft.com/devicelogin.
Ввод кода приводит к тому, что жертва незаметно авторизует вредоносное приложение, контролируемое злоумышленником. Это действие выдает OAuth-токен, предоставляющий прямой доступ к учетной записи Microsoft 365 без необходимости кражи пароля или обхода многофакторной аутентификации.
Proofpoint отмечает, что ранее подобные фишинговые атаки с использованием device code ограничивались небольшими red-team упражнениями или целевыми атаками, однако к сентябрю 2025 года они стали массовыми. Массовое распространение свидетельствует о значительной эволюции тактики злоумышленников и использовании автоматизированных инструментов для упрощения процесса.
Согласно данным Proofpoint, атаки организуются с использованием фишинговых фреймворков SquarePhish2 и Graphish.
SquarePhish2 — это продвинутая версия инструмента SquarePhish, которая позволяет злоумышленникам использовать QR-коды и автоматические перенаправления в процессе OAuth, делая фишинговую последовательность полностью убедительной. Инструмент может также отправлять последующие письма с кодами подтверждения, усиливая иллюзию подлинной многофакторной аутентификации.
Graphish, в свою очередь, использует Azure App Registrations и инфраструктуру reverse-proxy для проведения атак типа “adversary-in-the-middle”, перехватывая session-токены прямо из потока аутентификации.
Финансово мотивированная группа TA2723 активно применяет эту технику, проводя крупномасштабные фишинговые кампании с темами вроде «Salary Bonus + Employer Benefits Reports 25». Такие сообщения заманивают пользователей на фальшивые порталы входа, которые затем перенаправляют на подлинную страницу авторизации Microsoft, обеспечивая несанкционированный доступ.
Государственно-спонсируемые акторы также освоили этот метод. Одну из волн Proofpoint связывает с подозреваемой российской группой UNK_AcademicFlare, которая использовала скомпрометированные государственные почтовые аккаунты и фишинговые сайты на платформе Cloudflare для атак на чиновников, аналитические центры и академические учреждения в Европе и США.
Proofpoint советует организациям блокировать device code flows с помощью политик Conditional Access, внедрять строгий контроль OAuth и обучать пользователей не вводить device code из неожиданных источников.