Phishing na Kody OAuth: Jak Rosyjskie Grupy Hakerskie Atakują Konta Microsoft 365 i Jak Się Bronić

utworzone przez Redakcja VIPentest | wtorek, 23.12.2025, 11:19 | Narzędzia cybersecurity
OAuth Phishing Attacks Targeting Microsoft 365: Device Code Phishing Techniques and Defense Strategies Against Credential Harvesting
Podsumowanie najważniejszych informacji:
  • Ataki phishingowe OAuth na Microsoft 365 są nową metodą przejęcia kont bez łamania haseł.
  • Cyberprzestępcy manipulują legalnymi przepływami uwierzytelniania OAuth 2.0.
  • Wykorzystanie legalnych domen Microsoftu usypia czujność użytkowników i systemów.
  • Ochrona wymaga zaawansowanych technologii i edukacji użytkowników.

Platforma Microsoft 365 stała się głównym celem dla cyberprzestępców, którzy wykorzystują ataki phishingowe OAuth. Ataki te pozwalają na przejmowanie kont i kradzież danych bez konieczności łamania haseł. Legalne domeny Microsoftu są wykorzystywane do zwiększenia skuteczności ataków.

W miarę jak cyberprzestępcy doskonalą swoje techniki, starają się wykorzystać zaufane infrastruktury, co czyni ich ataki coraz trudniejszymi do wykrycia. Użytkownicy muszą być świadomi potencjalnych zagrożeń, a firmy powinny wdrażać wielowarstwowe strategie ochrony i odpowiednie procedury reagowania na incydenty.

Phishing na Kody OAuth: Jak Rosyjskie Grupy Hakerskie Atakują Konta Microsoft 365 i Jak Się Bronić

W dzisiejszym świecie biznesu, gdzie praca zdalna i współpraca w chmurze stały się normą, platforma Microsoft 365 jest kręgosłupem operacyjnym dla niezliczonych organizacji. Niestety, jej wszechobecność czyni ją również głównym celem dla cyberprzestępców. Obserwujemy nową, niepokojącą falę zaawansowanych ataków, które omijają tradycyjne mechanizmy obronne. Mowa o atakach phishingowych OAuth wymierzonych w Microsoft 365, które pozwalają napastnikom na przejmowanie kont i kradzież danych bez konieczności łamania haseł czy nawet posiadania złośliwego oprogramowania.

Ataki te, często wykorzystujące technikę phishingu z użyciem kodu urządzenia (device code phishing), polegają na manipulowaniu legalnymi przepływami uwierzytelniania OAuth 2.0 w celu wyłudzenia od ofiar kodów autoryzacyjnych. W ten sposób atakujący uzyskują dostęp do kont, rejestrują własne urządzenia w firmowej infrastrukturze Entra ID i eksfiltrują wrażliwe informacje. Co najgorsze, cały proces odbywa się na zaufanych domenach Microsoft, co usypia czujność zarówno użytkowników, jak i systemów bezpieczeństwa.

W tym artykule szczegółowo przeanalizujemy, jak działają te ataki, kto za nimi stoi oraz – co najważniejsze – przedstawimy konkretne, praktyczne strategie obronne, które pomogą CISO, menedżerom IT i liderom biznesowym zabezpieczyć swoje organizacje.

Czym Jest Phishing OAuth i Dlaczego Jest Tak Niebezpieczny?

Standard OAuth 2.0 to protokół autoryzacji, który pozwala aplikacjom na uzyskanie ograniczonego dostępu do kont użytkowników w usłudze HTTP, takiej jak Microsoft 365, bez konieczności udostępniania poświadczeń (nazwy użytkownika i hasła). To fundament nowoczesnych integracji w chmurze. Jednak, jak każda potężna technologia, może zostać wykorzystany w złych celach.

W omawianych kampaniach, atakujący nie próbują kraść haseł. Zamiast tego, skupiają się na wyłudzeniu tymczasowych kodów autoryzacyjnych lub kodów urządzeń, które ofiara sama generuje w ramach legalnego procesu logowania Microsoft. Atakujący, wchodząc w posiadanie takiego kodu, może go wymienić na tokeny dostępowe, które dają mu uprawnienia do działania w imieniu ofiary.

Główne zagrożenia wynikające z tego typu ataków to:

  • Przejęcie konta i eksfiltracja danych: Atakujący może uzyskać dostęp do skrzynek pocztowych Outlook, plików na SharePoint i OneDrive oraz innych zasobów w chmurze Microsoft.
  • Rejestracja złośliwych urządzeń: Napastnicy mogą zarejestrować kontrolowane przez siebie urządzenia w środowisku Entra ID (dawniej Azure AD) ofiary, co zapewnia im trwały i trudny do wykrycia dostęp do sieci firmowej.

Największym atutem z perspektywy atakujących jest fakt, że cały proces interakcji z ofiarą odbywa się na legalnej infrastrukturze Microsoftu. To skutecznie omija tradycyjne zabezpieczenia, takie jak filtry URL, a nawet może zniwelować skuteczność niektórych form uwierzytelniania wieloskładnikowego (MFA), ponieważ aplikacje, do których udzielany jest dostęp, są często zaufanymi, preautoryzowanymi aplikacjami pierwszej strony Microsoft. Źródło

Anatomia Ataku: Krok po Kroku

Chociaż techniki mogą się nieznacznie różnić, typowy scenariusz ataku phishingowego OAuth przebiega według określonego schematu. Ataki te opierają się głównie na inżynierii społecznej, prowadzonej za pośrednictwem komunikatorów, takich jak Signal czy WhatsApp, lub poprzez wiadomości e-mail wysyłane ze skompromitowanych wcześniej kont.

  1. Inżynieria społeczna i przynęta: Atakujący, często powiązani z rosyjskimi grupami, takimi jak UTA0352 i UTA0355, nawiązują kontakt z celem. Podszywają się pod urzędników, badaczy lub dziennikarzy, poruszając tematy związane z konfliktem na Ukrainie, europejską polityką czy śledztwami w sprawie zbrodni wojennych, aby wzbudzić zaufanie. Celem jest zaproszenie ofiary na rzekome spotkanie wideo, konferencję lub do wspólnej pracy nad dokumentem.
  2. Wyłudzenie kodu: Ofiara otrzymuje link, który prowadzi do legalnej domeny Microsoft, najczęściej login.microsoftonline.com. Kliknięcie linku inicjuje standardowy przepływ autoryzacji OAuth dla aplikacji pierwszej strony, takich jak Device Registration Service czy Microsoft Graph. W najnowszych wariantach ataków ofiara jest proszona o skopiowanie wygenerowanego przez Microsoft kodu autoryzacyjnego i odesłanie go atakującemu za pośrednictwem czatu. To kluczowy moment ataku – ofiara sama dostarcza klucz do swojego konta.
  3. Realizacja ataku: Gdy atakujący otrzyma kod, natychmiast go wykorzystuje do uzyskania tokenów dostępowych. W zależności od celu kampanii, może zarejestrować własne urządzenie w środowisku Entra ID ofiary lub uzyskać tokeny dostępowe do Microsoft Graph API, co pozwala na masowe pobieranie wiadomości e-mail, dostęp do plików na SharePoint czy kradzież innych danych.

Analitycy z Elastic potwierdzają, że atakujący używają specjalistycznych narzędzi, takich jak ROADtools, do tworzenia spreparowanych linków URL, podszywania się pod użytkowników i nadużywania zakresów uprawnień (scopes) w celu eskalacji przywilejów. Źródło

Główne Warianty Ataków OAuth

Ataki te ewoluują, a cyberprzestępcy stosują różne techniki, aby osiągnąć swoje cele. Poniżej przedstawiamy najczęściej obserwowane warianty.

TechnikaOpisPrzykłady
Phishing z użyciem kodu urządzenia (Device Code Phishing)Ofiara jest nakłaniana do zatwierdzenia kodu urządzenia dla rzekomej “aplikacji”, co w rzeczywistości daje atakującemu szeroki dostęp do jej konta Microsoft 365.Prowadzi do przejęcia konta i kradzieży danych.
Phishing z użyciem kodu autoryzacyjnego (Authorization Code Phishing)Ofiara udostępnia atakującemu cały adres URL zawierający kod autoryzacyjny, który jest następnie wykorzystywany do rejestracji urządzenia lub uzyskania dostępu do Graph API.Grupa UTA0355 wykorzystywała skompromitowane konta ukraińskich urzędników do rozsyłania przynęt.
Phishing oparty na zgodzie OAuth (OAuth Consent Phishing)Użytkownicy są nakłaniani do udzielenia uprawnień złośliwej aplikacji poprzez fałszywe monity o zgodę, często rozsyłane e-mailem.Pozwala ominąć hasła i MFA poprzez wykorzystanie zaufanych okien dialogowych OAuth.
Wewnętrzny phishing OAuth (np. CoPhish)Atakujący, którzy już uzyskali dostęp do konta w organizacji, tworzą wewnętrzne aplikacje (np. oparte na Copilot Studio) w celu wyłudzania uprawnień od innych pracowników i eskalacji przywilejów.Służy do rozszerzenia dostępu po początkowym włamaniu.

Aktorzy i Obserwowane Kampanie

Firma Proofpoint śledzi zarówno grupy powiązane z państwami (np. Rosją), jak i klastry motywowane finansowo, które wykorzystują te techniki do kradzieży tożsamości i uzyskiwania trwałego dostępu do systemów ofiar. Źródło

Szczególnie aktywne były ostatnio dwie grupy zidentyfikowane przez Volexity:

  • UTA0352 (marzec 2025): Grupa ta stosowała inżynierię społeczną za pośrednictwem aplikacji Signal i WhatsApp, wyłudzając kody dla aplikacji OAuth niezwiązanych z rejestracją urządzeń.
  • UTA0355 (kwiecień 2025): Ta grupa wysyłała e-maile ze zhakowanych kont ukraińskich urzędników państwowych, a następnie kontynuowała rozmowę na czacie. Ich celem była rejestracja urządzenia w Entra ID, a następnie masowe pobieranie wiadomości e-mail.

Strategie Obronne: Jak Zabezpieczyć Organizację?

Obrona przed tak wyrafinowanymi atakami wymaga wielowarstwowego podejścia, łączącego technologię, procesy i edukację użytkowników. Zarówno Microsoft, jak i czołowe firmy z branży cyberbezpieczeństwa rekomendują poniższe działania.

Szkolenia i Budowanie Świadomości Użytkowników

  • Człowiek jest pierwszą linią obrony. Należy edukować pracowników, jak rozpoznawać i reagować na próby wyłudzenia:
  • Uczulaj użytkowników na weryfikację niechcianych zaproszeń na spotkania wideo lub próśb o udostępnienie kodów, zwłaszcza jeśli dotyczą one drażliwych tematów, takich jak polityka czy konflikt na Ukrainie.
  • Wprowadź żelazną zasadę: Nigdy nie udostępniaj kodów autoryzacyjnych, kodów urządzeń ani linków zawierających takie kody niezweryfikowanym kontaktom.

Konfiguracja Microsoft Entra ID i Narzędzi Defender

  • Platforma Microsoft oferuje potężne narzędzia, które, odpowiednio skonfigurowane, mogą znacznie ograniczyć ryzyko:
  • Włącz Polityki Dostępu Warunkowego (Conditional Access Policies): Skonfiguruj polityki, które ograniczają ryzykowne logowania, blokują przepływy uwierzytelniania z użyciem kodu urządzenia dla wrażliwych aplikacji lub wymagają logowania z urządzeń zgodnych z polityką firmy.
  • Wyłącz starsze protokoły uwierzytelniania: Protokoły takie jak POP3, IMAP czy SMTP basic auth nie obsługują MFA i są łatwym celem dla atakujących.
  • Monitoruj i unieważniaj ryzykowne aplikacje OAuth: Użyj Microsoft Defender for Cloud Apps do nadzorowania aplikacji, którym udzielono zgody. Zwracaj szczególną uwagę na te z szerokimi uprawnieniami, nietypowymi wzorcami zgód lub pochodzące od niezaufanych dostawców.
  • Wprowadź polityki zgody na aplikacje OAuth: Wyłącz możliwość udzielania zgody na aplikacje przez samych użytkowników. Wymagaj, aby każda nowa aplikacja była zatwierdzana przez administratora.

Reguły Detekcji i Proaktywne Polowanie na Zagrożenia

  • Ponieważ ataki te wykorzystują legalne procesy, kluczowe jest poszukiwanie anomalii w zachowaniu użytkowników i systemów:
  • Skonfiguruj alerty dla nietypowych rejestracji urządzeń, anomalii w wywołaniach API Microsoft Graph z nowych, nieznanych urządzeń, czy masowego pobierania wiadomości e-mail.
  • Wykorzystaj gotowe reguły detekcji dostarczane przez platformy SIEM/XDR, takie jak Elastic, które analizują logi Entra ID pod kątem podejrzanych autoryzacji i nadużywanych uprawnień w tokenach.
  • Poszukuj wskaźników kompromitacji (IoC), takich jak próby autoryzacji z użyciem kodów celujące w usługę Device Registration Service, które nie zostały zainicjowane przez użytkownika.

Dodatkowe Środki Mitygujące

  • Wdróż MFA odporne na phishing (Phishing-resistant MFA): Standardowe metody MFA (SMS, kody w aplikacji) mogą zostać ominięte. Wdróż silniejsze metody, takie jak klucze bezpieczeństwa FIDO2, które wiążą uwierzytelnienie z konkretnym urządzeniem i domeną.
  • Regularnie przeglądaj i unieważniaj aktywne sesje oraz zgody OAuth: Prowadź regularny audyt przyznanych uprawnień i aktywnych sesji logowania, aby jak najszybciej odciąć dostęp atakującym.
  • Zablokuj publiczne przepływy OAuth dla kodu urządzenia: W środowiskach o wysokim poziomie bezpieczeństwa warto rozważyć całkowite zablokowanie tego wektora ataku, jeśli nie jest on krytyczny dla działalności biznesowej.

Podsumowanie: Ewolucja Zagrożeń Wymaga Ewolucji Obrony

Ataki phishingowe wykorzystujące przepływy OAuth to doskonały przykład tego, jak cyberprzestępcy adaptują swoje metody, by nadużywać zaufanych systemów. Omijają tradycyjne zabezpieczenia, wykorzystując legalną infrastrukturę i socjotechnikę, co czyni je wyjątkowo trudnymi do wykrycia. Jak podkreśla Microsoft w swoich majowych wytycznych z 2025 roku, obrona przed ewoluującymi atakami na tożsamość wymaga ciągłego doskonalenia mechanizmów obronnych, takich jak ochrona tokenów i polityki oparte na ryzyku. Źródło

Ochrona przed tymi zagrożeniami nie może opierać się na jednym rozwiązaniu. Wymaga synergii zaawansowanych konfiguracji technicznych, nieustannej czujności zespołów bezpieczeństwa oraz, co kluczowe, dobrze poinformowanych i świadomych użytkowników.

Jak VIPentest może pomóc?

Zrozumienie i wdrożenie skutecznych strategii obronnych w złożonym środowisku chmurowym może być wyzwaniem. Nasz zespół ekspertów w VIPentest specjalizuje się w identyfikacji i mitygacji zaawansowanych zagrożeń, takich jak phishing OAuth.

Oferujemy kompleksowe usługi, w tym audyty bezpieczeństwa konfiguracji Microsoft 365 i Entra ID, testy penetracyjne oraz zaawansowane symulacje ataków (red teaming), które pozwalają zweryfikować odporność Państwa organizacji na realne scenariusze ataków. Pomagamy wdrożyć najlepsze praktyki, uszczelnić luki konfiguracyjne i wzmocnić ogólną postawę bezpieczeństwa.

Jeśli chcesz mieć pewność, że Twoja firma jest przygotowana na odparcie najnowszych zagrożeń, skontaktuj się z nami. Porozmawiajmy o tym, jak możemy wzmocnić Twoje cyberbezpieczeństwo.

Checklista: Kluczowe kroki

  • Szkolenia pracowników w zakresie rozpoznawania phishingu OAuth.
  • Włącz polityki dostępu warunkowego w Microsoft Entra ID.
  • Monitoruj i blokuj starsze protokoły uwierzytelniania.
  • Przeprowadzaj regularne audyty aplikacji OAuth i ich zgód.
  • Konfiguruj alerty dla nietypowych logowań i aktywności API.
  • Wdróż MFA oparte na FIDO2 dla większego bezpieczeństwa.
  • Zablokuj publiczne przepływy OAuth dla kodu urządzenia.

FAQ

Czym jest phishing OAuth i dlaczego stanowi zagrożenie?

Phishing OAuth to technika, która wykorzystuje protokół autoryzacji OAuth 2.0 do wyłudzenia od użytkowników tymczasowych kodów autoryzacyjnych lub kodów urządzeń. Ten typ ataku umożliwia cyberprzestępcom uzyskanie dostępu do kont bez potrzeby łamania haseł i instalowania złośliwego oprogramowania, co czyni go szczególnie niebezpiecznym.

Jakie są główne zagrożenia związane z atakami phishingowymi OAuth?

Główne zagrożenia obejmują przejęcie konta, eksfiltrację danych oraz rejestrację złośliwych urządzeń w firmowej infrastrukturze Microsoft Entra ID. Proces odbywa się na zaufanych domenach Microsoft, co usypia czujność użytkowników i systemów bezpieczeństwa.

Jakie strategie obronne można stosować przeciwko atakom phishingowym OAuth?

Krytycznymi strategiami obronnymi są szkolenia i budowanie świadomości użytkowników, odpowiednia konfiguracja Microsoft Entra ID i narzędzi Defender, monitorowanie anomalii oraz wdrożenie polityk dostępu warunkowego. Rekomenduje się także wprowadzenie silniejszych metod MFA i regularny audyt udzielonych uprawnień.

Jak VIPentest może pomóc w obronie przed atakami phishingowymi OAuth?

VIPentest oferuje kompleksowe usługi, w tym audyty bezpieczeństwa konfiguracji Microsoft 365 i Entra ID, testy penetracyjne oraz zaawansowane symulacje ataków. Pomagamy identyfikować i mitygować zaawansowane zagrożenia, wdrażać najlepsze praktyki oraz wzmacniać ogólną postawę bezpieczeństwa organizacji.

Kto stoi za atakami phishingowymi OAuth i jakie grupy są najbardziej aktywne?

Ataki są często powiązane z rosyjskimi grupami hakerskimi, takimi jak UTA0352 i UTA0355. Grupy te stosują zaawansowaną inżynierię społeczną i korzystają z takich narzędzi, jak Signal i WhatsApp, do wyłudzania kodów autoryzacyjnych.

Jakie techniki ataków są najczęściej obserwowane?

Najczęściej spotykane techniki to phishing z użyciem kodu urządzenia, phishing z użyciem kodu autoryzacyjnego oraz phishing oparty na zgodzie OAuth. Wszystkie te techniki wykorzystują zaufane interfejsy i aplikacje Microsoft, co czyni je trudnymi do wykrycia.

Kontakt

Bezpieczeństwo zaczyna się od rozmowy! Chętnie udzielimy szczegółowych informacji!

Skontaktuj się z nami:

📧 Email: kontakt@vipentest.com
📞 Telefon: +48 735-380-170

    *Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę VIPentest Sp. z o.o. Więcej informacji o tym, jak chronimy powierzone nam dane osobowe i na jakiej podstawie je przetwarzamy znajduje się w Polityce Prywatności oraz RODO

     

    AI

    Informacja o powstawaniu treści

    Artykuł został opracowany z wykorzystaniem narzędzi wspieranych sztuczną inteligencją, a wszystkie treści zostały zweryfikowane, uzupełnione i zatwierdzone przez ekspertów VIPentest. Publikujemy wyłącznie informacje zgodne z aktualną wiedzą branżową, najlepszymi praktykami i doświadczeniem naszego zespołu, dbając o najwyższą rzetelność i dokładność prezentowanych materiałów.

    Redakcja VIPentest

    Redakcja VIPentest to zespół doświadczonych specjalistów z obszaru cyberbezpieczeństwa, którzy na co dzień realizują testy penetracyjne, audyty bezpieczeństwa IT oraz projekty doradcze dla firm z sektora finansowego, technologicznego, e-commerce i infrastruktury krytycznej.

    Tworzymy treści w oparciu o praktyczne doświadczenie ofensywne, realne scenariusze ataków oraz aktualne wymagania regulacyjne, takie jak NIS2, DORA, MiCA, ISO 27001 i inne standardy bezpieczeństwa informacji.

    Autorami i recenzentami treści są pentesterzy, inżynierowie bezpieczeństwa oraz konsultanci IT.

    Weryfikacja merytoryczna: Dawid Bakaj · Founder & Offensive Security Expert, VIPentest

    Przeczytaj Również

    1. Złośliwe Rozszerzenia Przeglądarki jako Zagrożenie dla Biznesu
    2. Testy penetracyjne w software house – klucz do bezpieczeństwa
    3. Testy penetracyjne TLPT w obliczu DORA i TIBER-EU
    4. Korzyści z outsourcingu cyberbezpieczeństwa dla polskich firm
    5. Ujawnienie kodu źródłowego mObywatel – analiza i konsekwencje
    6. Jak KNF chroni firmy przed atakami ransomware za pomocą PsExec

    Tagi

    Ataki hakerskiebezpieczeństwo chmurycyberbezpieczeństwoMicrosoft 365OAuthphishingstrategia obrony