کمیته رکن چهارم – عوامل تهدید در کارزارهای جدیدی که ترکیبی از فیشینگ مبتنی بر کد دستگاه (Device Code Phishing) و فیشینگ صوتی (Vishing) را بهکار میگیرند، سازمانهای فعال در حوزههای فناوری، تولید و خدمات مالی را هدف قرار دادهاند. در این حملات از جریان رسمی OAuth 2.0 Device Authorization سوءاستفاده میشود تا حسابهای Microsoft Entra به خطر بیفتد.
به گزارش کمیته رکن چهارم، برخلاف کارزارهای پیشین که متکی به برنامههای OAuth مخرب بودند، مهاجمان در این موج حملات از شناسههای کلاینت (client_id) قانونی و فرآیند رسمی احراز هویت دستگاه مایکروسافت استفاده میکنند. در نتیجه، پس از فریب قربانی، توکنهای احراز هویت معتبر صادر میشود و مهاجم بدون نیاز به صفحات فیشینگ سنتی برای سرقت گذرواژه یا رهگیری کدهای MFA به حساب دسترسی پیدا میکند.
احتمال ارتباط با ShinyHunters
یک منبع مطلع به BleepingComputer اعلام کرده احتمال دارد گروه اخاذی ShinyHunters پشت این حملات vishing مبتنی بر device code قرار داشته باشد؛ موضوعی که مهاجمان نیز بعداً آن را تأیید کردهاند، هرچند این انتساب هنوز بهطور مستقل تأیید نشده است. این گروه پیشتر نیز به حملات مهندسی اجتماعی علیه حسابهای Okta و Microsoft Entra SSO نسبت داده شده بود.
مایکروسافت در پاسخ به پرسشها درباره این کارزار اعلام کرده در حال حاضر اطلاعاتی برای انتشار ندارد.
سوءاستفاده از جریان رسمی Device Code
جریان Device Code در OAuth 2.0 برای دستگاههایی طراحی شده که امکان ورود مستقیم ندارند، مانند تلویزیونهای هوشمند یا تجهیزات IoT. در این سازوکار، کاربر یک کد کوتاه روی دستگاه مشاهده میکند و باید در مرورگر دستگاهی دیگر به آدرس microsoft.com/devicelogin مراجعه کرده و آن کد را وارد کند. پس از تکمیل ورود و احراز هویت چندمرحلهای، دستگاه بدون نیاز به دانستن گذرواژه به حساب کاربر متصل میشود.
مهاجمان از همین فرآیند رسمی سوءاستفاده میکنند. آنها با استفاده از یک client_id معتبر و ابزارهای متنباز، یک device_code و user_code تولید کرده و سپس با کارمند هدف تماس میگیرند. قربانی متقاعد میشود کد ارائهشده را در صفحه رسمی مایکروسافت وارد کند. از آنجا که صفحه ورود کاملاً معتبر است و نام برنامه OAuth قانونی نمایش داده میشود، فرآیند ظاهری مشروع دارد.
پس از تکمیل ورود و MFA توسط قربانی، مهاجم با استفاده از device_code توکن refresh دریافت میکند و از آن برای اخذ access token بهره میبرد. بدین ترتیب، بدون نیاز به تکرار MFA، امکان دسترسی به حساب Microsoft Entra و سرویسهای متصل به SSO فراهم میشود.
دامنه دسترسی مهاجمان
توکنهای صادرشده میتوانند دسترسی به طیف گستردهای از سرویسهای سازمانی را فراهم کنند، از جمله Microsoft 365، Salesforce، Google Workspace، Dropbox، Adobe، SAP، Slack، Zendesk و Atlassian. این دسترسیها میتواند برای سرقت دادههای حساس و اخاذی مورد استفاده قرار گیرد.
کارزارهای مشابه
شرکت KnowBe4 Threat Labs نیز کارزار مشابهی را شناسایی کرده که از ایمیلهای فیشینگ برای اجرای حملات device code استفاده میکند. این کارزار که از دسامبر ۲۰۲۵ مشاهده شده، از طعمههایی مانند اعلانهای جعلی تنظیم پرداخت، هشدارهای اشتراکگذاری سند و پیامهای صوتی ساختگی بهره میبرد.
همچنین در فوریه ۲۰۲۵، مرکز اطلاعات تهدید مایکروسافت درباره سوءاستفاده هکرهای روس از این روش هشدار داده بود و در دسامبر گذشته نیز Proofpoint حملات مشابهی را گزارش کرده بود.
توصیههای امنیتی
کارشناسان به سازمانها توصیه میکنند مجوزهای OAuth را بهطور منظم بررسی و موارد مشکوک را لغو کنند، لاگهای Azure AD را برای رویدادهای device code authentication پایش کنند، در صورت عدم نیاز جریان device code را غیرفعال سازند و سیاستهای Conditional Access را برای محدودسازی این نوع احراز هویت اعمال کنند.
این کارزارها نشان میدهد مهاجمان بهطور فزایندهای از مکانیزمهای رسمی و زیرساختهای معتبر احراز هویت برای دور زدن سامانههای دفاعی استفاده میکنند؛ رویکردی که تشخیص آن را دشوارتر میکند، زیرا تمامی تعاملات از طریق زیرساخت قانونی مایکروسافت انجام میشود.
