Фишинг device code с AI: эскалация кампании

Введение

Microsoft сообщила о значительной эволюции фишинга через device code, показав, как злоумышленники сочетают generative AI, автоматизацию и облачную инфраструктуру для массового компрометирования учетных записей Microsoft. Для команд безопасности и администраторов Microsoft 365 это важно, потому что кампания нацелена на легитимные потоки аутентификации, а не на прямую кражу паролей, что усложняет обнаружение с помощью традиционных средств контроля.

Что нового в этой кампании

По данным Microsoft Defender Security Research, эта активность опирается на более ранние техники device code phishing, но добавляет несколько важных улучшений:

• AI-enabled phishing lures: злоумышленники использовали generative AI для создания высоко персонализированных писем, привязанных к рабочим ролям и бизнес-сценариям, таким как счета, RFP и производственные процессы.
• Dynamic device code generation: вместо использования заранее сгенерированных кодов, срок действия которых истекает через 15 минут, device code создается только в момент, когда пользователь нажимает на фишинговую ссылку.
• Automated cloud infrastructure: злоумышленники использовали платформы Railway, Vercel, Cloudflare Workers и AWS Lambda для развертывания кратковременной инфраструктуры и цепочек перенаправления.
• Blended-in traffic: перенаправления через доверенные облачные сервисы помогают активности обходить простые blocklist и механизмы защиты на основе репутации.
• Post-compromise token abuse: после завершения жертвой потока device login злоумышленники используют токен для эксфильтрации почты, создания правил inbox и разведки через Microsoft Graph.

Почему это отличается

Традиционный фишинг обычно пытается перехватить учетные данные. В данном случае злоумышленник обманывает пользователя, заставляя его одобрить легитимную сессию входа Microsoft device login, инициированную самим злоумышленником. Поскольку аутентификация происходит на настоящей странице входа Microsoft для device login, пользователи могут подозревать меньше, а MFA может быть менее эффективной, если сессия не имеет жесткой привязки к исходному контексту.

Microsoft также связывает эту тенденцию с EvilToken, phishing-as-a-service-инструментом, который способствует более широкому злоупотреблению device code. Использование автоматизации и AI означает заметный шаг вперед по сравнению с кампанией Storm-2372, задокументированной в 2025 году.

Влияние на IT-администраторов

Командам безопасности и identity следует ожидать:

• Более убедительных фишинговых писем, нацеленных на пользователей высокой ценности
• Рост злоупотребления легитимными потоками OAuth и входа Microsoft
• Компрометации на основе токенов без кражи паролей
• Закрепления через вредоносные правила inbox и скрытую переадресацию почты
• Разведки организационной структуры через Microsoft Graph

Рекомендуемые действия

Администраторам следует изучить рекомендации Microsoft по снижению рисков и отдать приоритет следующим мерам:

• Мониторинг подозрительной активности device code authentication
• Расследование неожиданных правил inbox и шаблонов доступа на основе токенов
• Усиление conditional access и политик sign-in risk там, где это возможно
• Обучение пользователей воспринимать непрошенные запросы device login как подозрительные
• Поиск подозрительных перенаправлений, доменов impersonation и фишинговой инфраструктуры, размещенной в облаке

Это исследование напоминает, что средства защиты от фишинга теперь должны учитывать злоупотребление легитимными сценариями аутентификации, а не только поддельные страницы входа и украденные пароли.