กลุ่มแฮ็กเกอร์จากรัสเซีย ใช้ช่องโหว่ OAuth 2.0 authentication เพื่อแฮ็กบัญชี Microsoft 365 ของพนักงานในองค์กรที่เกี่ยวข้องกับยูเครน และองค์กรด้านสิทธิมนุษยชน

ผู้โจมตีแอบอ้างตัวเป็นเจ้าหน้าที่จากประเทศในยุโรป และติดต่อเป้าหมายผ่านแอปส่งข้อความอย่าง WhatsApp และ Signal โดยเป้าหมายคือการโน้มน้าวให้เหยื่อใส่รหัส authorization codes สำหรับ Microsoft หรือทำการคลิกลิงก์อันตราย เพื่อเก็บข้อมูลการล็อกอิน และรหัสผ่านแบบ One-Time Codes

บริษัทด้านความปลอดภัยทางไซเบอร์ Volexity สังเกตเห็นพฤติกรรมนี้ตั้งแต่ช่วงต้นเดือนมีนาคม 2025 หลังจากที่เคยเกิดเหตุการณ์ในลักษณะเดียวกันนี้ในเดือนกุมภาพันธ์ ซึ่งเคยถูกรายงานโดย Volexity และ Microsoft โดยในครั้งนั้นผู้โจมตีใช้เทคนิคฟิชชิงผ่าน Device Code Authentication เพื่อขโมยบัญชี Microsoft 365

Volexity ได้ติดตามกลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีทั้งสองแคมเปญในชื่อ UTA0352 และ UTA0355 และประเมินด้วยความมั่นใจในระดับปานกลางว่าทั้งสองกลุ่มเป็นชาวรัสเซีย

ลำดับการโจมตี

ในรายงานที่เผยแพร่วันที่ 25 เมษายน 2025 นักวิจัยได้อธิบายว่า การโจมตีเริ่มต้นจากการส่งข้อความผ่านแอปพลิเคชัน Signal หรือ WhatsApp

โดย Volexity ระบุว่า ในบางกรณี ข้อความดังกล่าวถูกส่งมาจากบัญชีของรัฐบาลยูเครนที่ถูกโจมตี

โดยผู้โจมตีจะแอบอ้างเป็นเจ้าหน้าที่ทางการเมืองของยุโรป หรือเจ้าหน้าที่การทูตของยูเครน และหลอกเป้าหมายด้วยคำเชิญให้เข้าร่วมการประชุมวิดีโอส่วนตัวเพื่อหารือเกี่ยวกับประเด็นที่เกี่ยวข้องกับยูเครน

เมื่อสามารถสร้างช่องทางการสื่อสารกับเป้าหมายได้แล้ว ผู้โจมตีจะส่ง phishing URL ในรูปแบบ OAuth โดยอ้างว่าเป็นลิงก์ที่จำเป็นสำหรับเข้าร่วมการประชุม

กลุ่ม UTA0352 อาจส่งคำแนะนำในการเข้าร่วมประชุมในรูปแบบไฟล์ PDF พร้อมกับลิงก์อันตรายที่ถูกออกแบบมาให้ใช้สำหรับล็อกอินเข้าสู่ระบบ Microsoft และแอปของ third-party ซึ่งใช้ในขั้นตอน OAuth ของ Microsoft 365

หลังจากเป้าหมายทำการยืนยันตัวตนเรียบร้อยแล้ว นักวิจัยระบุว่า จะมีการเปลี่ยนเส้นทางผู้ใช้ไปยัง Visual Studio Code เวอร์ชันในเบราว์เซอร์ ซึ่งโฮสต์อยู่ที่ insiders.