Phishing-Angriffe über OAuth: Neue Bedrohungen

25. April 2025

Seit Anfang März 2025 registriert das Sicherheitsunternehmen Volexity eine neue Welle gezielter Cyberangriffe durch mehrere russische Bedrohungsakteure. Im Fokus stehen dabei vor allem Personen und Organisationen mit Verbindungen zur Ukraine sowie aus dem Umfeld der Menschenrechtsarbeit.

Die Angreifer setzen auf eine neuartige Methode: Sie missbrauchen legitime OAuth-2.0-Authentifizierungsprozesse von Microsoft 365, um Zugriff auf sensible Daten zu erlangen. Dabei geben sich die Hacker unter anderem als Vertreter europäischer Regierungen aus. In einem dokumentierten Fall nutzten sie sogar ein kompromittiertes E-Mail-Konto der ukrainischen Regierung.

Zur Kontaktaufnahme mit den Zielpersonen greifen die Angreifer auf verschlüsselte Messenger-Dienste wie Signal und WhatsApp zurück. Dort laden sie ihre Opfer zu vermeintlichen Treffen mit europäischen Politikern oder zu Veranstaltungen ein – ein klassisches Social Engineering-Manöver.

Ziel der Täuschung ist es, die Opfer dazu zu bringen, auf Links zu klicken, die auf der Microsoft-365-Infrastruktur gehostet sind. Die Opfer werden anschließend aufgefordert, Autorisierungscodes für ihre Microsoft-Konten einzugeben. Gelangen die Angreifer in den Besitz dieser Codes, können sie darüber eigene Geräte mit dem Entra-ID-System (ehemals Azure AD) verknüpfen. Dadurch erhalten sie Zugriff auf E-Mails und weitere kontobezogene Daten der Betroffenen.

Das Cybersicherheitsunternehmen Volexity beobachtete diese Aktivitäten seit Anfang März, unmittelbar nach einer ähnlichen Operation, über die Volexity und Microsoft im Februar berichteten und bei der mithilfe von Phishing mit Gerätecodeauthentifizierung Microsoft 365-Konten gestohlen wurden.

In einem Bericht beschreiben die Forscher, dass der Angriff mit einer Nachricht über Signal oder WhatsApp begann. Volexity merkt an, dass die Nachricht in einem Fall von einem kompromittierten Konto der ukrainischen Regierung stammte.

Quelle: Volexity

Im Rahmen der aktuellen Kampagnen geben sich die Angreifer als europäische Regierungsvertreter oder ukrainische Diplomaten aus und versenden täuschend echt wirkende Einladungen zu angeblich vertraulichen Videokonferenzen mit Bezug zur geopolitischen Lage in der Ukraine. Nach erfolgreicher Kontaktaufnahme leiten sie ihre Zielpersonen an, einen präparierten Link zu öffnen – unter dem Vorwand, dieser sei für die Teilnahme an der Besprechung erforderlich. Tatsächlich führt der Link zu einer manipulierten OAuth-Autorisierungsseite, über die die Angreifer Zugriffstokens abgreifen und damit persistenten Zugriff auf die Microsoft-365-Konten der Opfer erhalten können.

Quelle: Volexity

Die Bedrohungsgruppe UTA0352 nutzt unter anderem PDF-Dokumente, um ihre Opfer zur Teilnahme an vermeintlichen Besprechungen zu bewegen. In den Dateien enthalten ist eine manipulierte URL, die so gestaltet ist, dass sie den Nutzer zur Anmeldung bei Microsoft sowie bei Drittanbieter-Anwendungen verleitet, die auf Microsoft 365-OAuth-Workflows basieren.

Nach erfolgreicher Authentifizierung wird das Opfer laut den Sicherheitsforschern auf eine scheinbar legitime, browserbasierte Instanz von Visual Studio Code weitergeleitet, die unter insiders.vscode.dev gehostet wird. Die dortige Landing Page ist in der Lage, Anmeldeinformationen und OAuth-Tokens von Microsoft 365 zu empfangen. Im Anschluss wird dem Nutzer ein gefälschtes Dialogfenster präsentiert, das zur weiteren Interaktion auffordert.

Quelle: Volexity

Im Rahmen des Social-Engineering-Angriffs versucht der Akteur, das Opfer zur Rücksendung eines angezeigten Autorisierungscodes zu bewegen – unter dem Vorwand, dieser sei notwendig, um an der Videokonferenz teilzunehmen. Tatsächlich handelt es sich dabei um einen OAuth-Code mit einer Gültigkeit von 60 Tagen, über den ein Zugriffstoken generiert werden kann. Dieses ermöglicht weitreichenden Zugriff auf sämtliche Ressourcen, die dem Benutzer im Microsoft-365-Umfeld normalerweise zur Verfügung stehen.

Besonders kritisch: Laut Volexity wird der Code als Teil der URI in der Adressleiste angezeigt – eine Designentscheidung, die es dem Angreifer erleichtert, die Zeichenfolge zu extrahieren und weiterzuleiten. Die Nutzung der Visual-Studio-Code-Oberfläche spielt hier eine zentrale Rolle: Während die meisten OAuth-Workflows bei misslungener Autorisierung zu einer leeren Seite führen, erlaubt diese Implementation eine nahtlose Darstellung der manipulierten Oberfläche.

Den vollständigen Ablauf des Angriffs, der gezielt Benutzer der First-Party-Anwendung Visual Studio Code ins Visier nimmt, haben die Forscher in einer schematischen Darstellung zusammengefasst.

Quelle: Volexity

Fazit

Motivierte Angreifer werden stets neue Methoden entwickeln, um Sicherheitsbarrieren zu überwinden und sich unentdeckt Zugang zu sensiblen Ressourcen zu verschaffen. Die jüngste Welle von Angriffen, die bereits die zweite seit Januar 2025 darstellt, zeigt erneut, wie russische Angreifer unkonventionelle Techniken einsetzen, um in Microsoft 365-Systeme einzudringen. Laut Volexity richten sich diese Angriffe verstärkt gegen NGOs, Thinktanks und Menschenrechtsaktivisten, wobei die angespannte Lage dieser Gruppen durch Budgetkürzungen und Personalabbau ausgenutzt wird.

Diese Angriffe nutzen eine ähnliche Taktik wie frühere Phishing-Kampagnen, bei denen Benutzerinteraktionen über die offizielle Microsoft-Infrastruktur stattfinden, ohne dass die Angreifer eigene Server oder schadhafte OAuth-Anwendungen benötigen. Diese Vorgehensweise erschwert sowohl die Prävention als auch die Erkennung solcher Angriffe, da sie auf bereits autorisierte Microsoft-Anwendungen zurückgreifen.

Unternehmen sollten daher verstärkt in die Schulung ihrer Mitarbeiter investieren und sie auf die Gefahren von Phishing-Angriffen vorbereiten, insbesondere bei unaufgeforderten Kontaktaufnahmen über sichere Messaging-Dienste. Angreifer setzen darauf, dass die Opfer unwissentlich auf schadhafte Links klicken oder Codes zurücksenden – eine Taktik, die in vielen Fällen noch unbekannt ist und eine Herausforderung für die Cybersicherheit darstellt.

Volexity warnt, dass derzeit vor allem Organisationen, die in den Bereichen Menschenrechte, humanitäre Hilfe und in Verbindung mit der Ukraine tätig sind, besonders gefährdet sind. Auch wenn die Angriffe momentan noch vereinzelt auftreten, erwartet Volexity, dass diese Methode an Häufigkeit gewinnen und sich weiter ausbreiten könnte. Eine umfassende Sensibilisierung und Schulung der Mitarbeiter ist daher unerlässlich.

Schließlich legt die Ausrichtung der Angriffe auf die Ukraine und die Verwendung ähnlicher Taktiken wie im Februar 2025 nahe, dass die Bedrohungsakteure hinter diesen Angriffen mit hoher Wahrscheinlichkeit aus Russland stammen. Ob diese Akteure koordiniert zusammenarbeiten oder in Zusammenhang mit früheren Angriffen stehen, bleibt derzeit unklar.

Teile diesen Beitrag: