Gli hacker russi hanno recentemente intensificato gli attacchi mirati contro individui e organizzazioni legate all'Ucraina e ai diritti umani, con l'obiettivo di ottenere accesso non autorizzato agli account Microsoft 365. Questi attacchi, iniziati all'inizio di marzo 2025, rappresentano una sofisticata operazione di ingegneria sociale che sfrutta il flusso di lavoro di autenticazione OAuth 2.0 di Microsoft. La strategia prevede l'imitazione di funzionari di varie nazioni europee per ingannare le vittime, inducendole a fornire codici OAuth generati da Microsoft.

Gli aggressori utilizzano app di messaggistica come Signal e WhatsApp per contattare le vittime, invitandole a partecipare a videochiamate o eventi privati con funzionari politici europei. Questo approccio mira a indurre le vittime a cliccare su link ospitati sull'infrastruttura Microsoft 365, che a loro volta reindirizzano al portale di login ufficiale di Microsoft 365. Una volta che la vittima interagisce con il link, viene generato un token di autorizzazione Microsoft che gli hacker cercano di ottenere tramite un codice OAuth mostrato nel browser.

Identificazione delle Minacce

Volexity, una società di sicurezza informatica, ha identificato almeno due cluster di minacce, UTA0352 e UTA0355, che potrebbero essere legati ad attori noti come APT29, UTA0304 e UTA0307. Questi attacchi non coinvolgono applicazioni OAuth malevole o controllate dagli aggressori, ma sfruttano applicazioni di prima parte di Microsoft, rendendo difficile la prevenzione e il rilevamento.

Un aspetto particolarmente ingannevole di questi attacchi è che tutte le interazioni avvengono attraverso l'infrastruttura ufficiale di Microsoft, senza l'uso di infrastrutture ospitate dagli aggressori. Inoltre, gli accessi, le registrazioni di dispositivi e l'attività email vengono instradati attraverso reti proxy geolocalizzate per corrispondere alla posizione della vittima, complicando ulteriormente il rilevamento.

Misure di Prevenzione

Per contrastare tali attacchi, è consigliabile che le organizzazioni eseguano audit sui dispositivi registrati di recente, educando gli utenti sui rischi associati ai contatti non richiesti sulle piattaforme di messaggistica e implementando politiche di accesso condizionato per limitare l'accesso alle risorse organizzative solo a dispositivi approvati o gestiti.