Mastodon Mastodon Mastodon Mastodon

Як device code phishing став PhaaS-продуктом проти Microsoft 365

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Наприкінці червня — на початку липня 2026 року зафіксована кампанія фішингу через механізм Device Code Flow, націлена на облікові записи Microsoft 365. За даними ZeroBEC, зловмисники використовували приманки у форматі запрошень до спільної роботи, скеровуючи жертв на легітимну сторінку автентифікації Microsoft, а не на підроблену форму введення пароля. Паралельно Cisco Talos розкрила повнофункціональну операторську панель ARToken для подібних атак. Ці події вказують на системний зсув: техніка device code phishing із поодинокого прийому перетворилася на товарний продукт на ринку «фішинг як послуга» (PhaaS), здатний обходити багатофакторну автентифікацію та забезпечувати повне захоплення облікових записів.

Як працює device code phishing

В основі атаки лежить легітимний механізм OAuth 2.0 — Device Authorization Grant. Згідно з документацією Microsoft, цей потік призначений для пристроїв з обмеженим інтерфейсом — смарт-телевізорів, принтерів, IoT-пристроїв, — які не можуть відобразити стандартну форму входу. Користувач отримує короткий код на пристрої, вводить його в браузері на іншому пристрої й таким чином авторизує сесію.

Зловмисники експлуатують саме це розділення: вони самостійно ініціюють потік автентифікації, отримують код і передають його жертві через фішинговий лист. Коли користувач вводить код на легітимній сторінці microsoft.com/devicelogin, він несвідомо авторизує сесію зловмисника. Як зауважують дослідники Huntress, атака «не зламує систему, а заходить через парадні двері — без пароля, з обходом MFA, із переданням токена сесії безпосередньо зловмиснику».

Принципова відмінність від класичного фішингу: тут немає підроблених сторінок входу й немає перехоплення облікових даних через проксі (AitM). Жертва взаємодіє виключно зі справжньою інфраструктурою Microsoft, що робить атаку вкрай складною для виявлення стандартними засобами.

Еволюція техніки: динамічна генерація та PhaaS

За даними Proofpoint (травень 2026), у більшості сучасних атак код генерується динамічно в момент переходу жертви за фішинговим посиланням. Це усуває обмеження за часом життя коду: лист може бути відкритий у будь-який момент, і ланцюжок атаки запуститься заново. Proofpoint також фіксує, що реалізації device code phishing доступні через PhaaS-платформи, зокрема EvilTokens і Tycoon 2FA, або створюються операторами самостійно.

Додатково зловмисники застосовують техніку «стрибків через захоплені акаунти» (ATO jumping): скомпрометований обліковий запис використовується для розсилання фішингових посилань по контактах жертви — у вигляді кнопок, гіперпосилань, вкладень або QR-кодів. Це багаторазово збільшує охоплення кампанії та підвищує довіру отримувачів до листа.

Зв’язок зі Storm-2372 та формування екосистеми інструментів

За оцінкою ZeroBEC, спостережувана кампанія має значні перетини з активністю, яку Microsoft задокументувала в лютому 2025 року під ідентифікатором Storm-2372. Та кампанія використовувала приманки у стилі Microsoft Teams для отримання device code від жертв. Водночас дослідники наголошують, що збіг тактик не означає тотожності операторів — ідеться радше про поширення певного набору прийомів (tradecraft), який тепер упаковується в повторно використовувану інфраструктуру.

Паралельно Cisco Talos ідентифікувала операторську панель ARToken, яка, за даними дослідників, поділяє інфраструктуру та API-контракти з платформою EvilTokens. Панель надає понад 80 API-ендпоінтів для проведення device code phishing, збереження доступу через Primary Refresh Token (PRT), роботи з електронною поштою, операцій BEC та ексфільтрації даних із SharePoint — усе через React-інтерфейс. Окремий інструмент ARTBrowser дає змогу операторам переглядати сесії Microsoft 365 жертв поза панеллю.

За даними Sekoia, платформа EvilTokens містить функції на основі штучного інтелекту для автоматизації BEC-операцій: аналіз тисяч перехоплених листів, виявлення фінансового листування та генерування шахрайських повідомлень. Це свідчить про зрілість екосистеми — ідеться не про поодинокі фішингові набори, а про повноцінні платформи для проведення бізнес-компрометації.

Тенденцію підтверджує й звіт eSentire: оператори Tycoon 2FA, які раніше спеціалізувалися на AitM-фішингу, перепрофілювали свій набір для доставки device code phishing через OAuth-потік Microsoft.

Залучені продукти та масштаб впливу

Під загрозою перебувають усі організації, які використовують:

  • Microsoft 365 (Exchange Online, OneDrive, SharePoint)
  • Microsoft Entra (Azure AD)
  • Microsoft Graph API

Успішна атака може призвести до повного захоплення облікового запису, викрадення конфіденційних даних, шахрайства через BEC, латерального переміщення всередині організації та, в крайніх випадках, до розгортання програм-вимагачів. Особливо вразливі організації, де device code flow дозволений на рівні тенанта без додаткових обмежень умовного доступу.

Важливо враховувати: реальний масштаб впливу залежить від області дії (scope) виданих токенів, налаштувань умовного доступу та політик тенанта. Твердження про «повний обхід MFA» коректні лише в контексті делегованої автентифікації — атака не зламує MFA як таку, а використовує легітимний потік, у якому MFA вже пройдена користувачем.

Практичні рекомендації

  1. Обмежте Device Code Flow. У Microsoft Entra створіть політику умовного доступу, що блокує Device Authorization Grant для всіх користувачів, окрім тих, кому він справді потрібен (кіоски, IoT-пристрої). Це найефективніший захід.
  2. Налаштуйте моніторинг аномальних входів. Відстежуйте події автентифікації з типом «Device Code» у журналах Entra Sign-in Logs. Масові запити device code з нетипових IP-адрес або для користувачів, яким цей потік не потрібен, — сигнал компрометації.
  3. Запровадьте політики Token Protection. Прив’язка токенів до конкретних пристроїв (token binding) в Entra суттєво знижує цінність перехоплених токенів для зловмисника.
  4. Проведіть ревізію згод OAuth. Перевірте список застосунків із делегованими дозволами в тенанті. Відкличте підозрілі згоди, особливо ті, що надають доступ до Mail.Read, Files.Read або подібних scope.
  5. Навчіть користувачів. Співробітники мають знати, що легітимні запрошення до спільної роботи в Microsoft 365 ніколи не вимагають введення device code. Будь-який запит на введення коду на сторінці microsoft.com/devicelogin, ініційований з листа, — ознака атаки.
  6. Обмежте ATO jumping. Налаштуйте правила транспорту Exchange Online для виявлення масових розсилок із нещодавно скомпрометованих акаунтів та автоматичного карантину підозрілих повідомлень.

Формування повноцінних PhaaS-платформ навколо device code phishing — ARToken, EvilTokens, адаптований Tycoon 2FA — означає, що ця техніка перестала бути прерогативою просунутих угруповань і стала доступною широкому колу операторів. Ключова дія для захисників — негайно перевірити, чи дозволений Device Code Flow у тенанті Microsoft Entra, і заблокувати його для всіх користувачів, яким він не потрібен для роботи. Організації, що не обмежили цей потік, фактично залишають відчиненими двері, через які зловмисник заходить із легітимним токеном.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.