APT-группировка TA2552 использует OAuth2 и другие технологии авторизации на базе токенов для атак на пользователей Office 365 с целью хищения их электронной переписки и контактов.
OAuth – это открытый стандарт для делегирования доступа, использующийся для авторизации в сервисах без необходимости введения пароля. Вместо пароля для аутентификации пользователя стандарт использует статус другого, доверенного сервиса или сайта (например, Google или Facebook), где авторизован этот пользователь.
По данным компании Proofpoint, TA2552 рассылает своим жертвам хорошо подготовленные сообщения-приманки, обманом заставляющие их нажать на вредоносную ссылку. После нажатия на ссылку жертва оказывается на легитимной странице Microsoft, где она может давать согласие на доступ к своим данным приложениям, использующим для авторизации стандарт OAuth2.
Как только жертва авторизуется в своей учетной записи Office 365, от нее требуется предоставить доступ приложениям, подконтрольным злоумышленникам. Киберпреступники просят предоставить разрешение на чтение вредоносному приложению, замаскированному под приложение легитимной организации.
Специалисты Proofpoint настоятельно рекомендуют пользователям внимательно относиться к разрешениям, которые они дают сторонним приложениям. В рамках вредоносной кампании злоумышленники запрашивают разрешение только на чтение контактов, данных профиля и электронной почты. Это дает им возможность шпионить за учетными записями, незаметно похищать информацию и даже перехватывать сообщения для смены паролей от других учетных записей, в том числе банковских. Другими словами, даже такое минимальное разрешение, как только чтение, представляет угрозу безопасности, подчеркивают специалисты.
TA2552 атакует организации по всему миру, но в данной кампании их больше всего интересуют испаноговорящие пользователи Мексики.