Russland-nahe Hacker missbrauchen Microsoft-OAuth für präzise Social-Engineering-Angriffe
Mit täuschend echten Einladungen zu politischen Meetings via WhatsApp und Signal greifen russlandnahe Hacker gezielt Unterstützer der Ukraine an. Ihr Ziel: Zugriff auf Microsoft-365-Konten. Die Angriffe setzen auf eine bislang kaum bekannte Technik, bei der die offizielle OAuth-Authentifizierung von Microsoft ausgenutzt wird – ohne eigene Infrastruktur.
Seit März 2025 beobachten Sicherheitsexperten wie Volexity eine Reihe hochgradig gezielter Social-Engineering-Angriffe auf Einzelpersonen und Organisationen, die Verbindungen zur Ukraine oder zu Menschenrechtsinitiativen haben. Die mutmaßlich russischen Angreifer nutzen eine raffinierte Methode: Device Code Phishing. Dabei missbrauchen sie legitime Microsoft-OAuth-Workflows, um Zugriff auf Microsoft-365-Konten zu erlangen – ohne Schadsoftware oder gefälschte Webseiten.
Gezielte Manipulation statt Malware: Wie Microsoft-OAuth zur Waffe wird
Die Angriffe beginnen mit Nachrichten über WhatsApp oder Signal, die angeblich von europäischen Regierungsvertretern stammen. Ziel ist es, das Opfer zu einem vertraulichen Online-Meeting oder politischen Event rund um die Ukraine einzuladen. In den Gesprächen – oft über Tage hinweg geführt – wird ein angeblicher Kalendereintrag oder ein Dokument mit Link zu einer offiziellen Microsoft-Anmeldeseite verschickt.
Der Clou: Nach dem Klick wird ein echter Microsoft-OAuth-Code generiert. Die Hacker bitten die Zielperson, diesen Code „zur Bestätigung“ zurückzuschicken. Damit können sie dann ein Zugriffs-Token generieren und Kontrolle über das Microsoft-Konto übernehmen.
Angriff über offizielle Infrastruktur
Was diesen Angriff so gefährlich macht: Er läuft vollständig über Microsofts eigene Infrastruktur. Die OAuth-Token werden über reguläre Log-in-Seiten erzeugt, und der Code erscheint entweder in der Weiterleitungs-URL oder – in fortgeschritteneren Varianten – in einer in Visual Studio Code eingebetteten Browser-Ansicht. In einer früheren Version wird das Opfer über vscode-redirect.azurewebsites[.]net auf eine localhost-Adresse umgeleitet, wodurch der Autorisierungscode nur noch in der URL sichtbar ist. Auch hier fordern die Angreifer das Opfer auf, den Link manuell weiterzugeben.
UTA0355: Weitere Social-Engineering-Attacke entdeckt
Hinter den Angriffen stecken laut Volexity mindestens zwei Bedrohungsakteure, intern als UTA0352 und UTA0355 bezeichnet. Anfang April 2025 wurde eine weitere raffinierte Social-Engineering-Kampagne aufgedeckt, die mutmaßlich von der Bedrohungsgruppe UTA0355 durchgeführt wurde. Dabei nutzten die Angreifer ein bereits kompromittiertes E-Mail-Konto der ukrainischen Regierung, um gezielte Spear-Phishing-E-Mails zu versenden. Im Anschluss kontaktierten sie ihre Opfer zusätzlich über die verschlüsselten Messenger Signal und WhatsApp.
In den Nachrichten luden sie die Empfänger zu einer vermeintlichen Videokonferenz ein – angeblich im Zusammenhang mit der Beteiligung der Ukraine an Investitionen und internationalen Strafverfolgungsmaßnahmen wegen Kriegsverbrechen. Die Vorgehensweise ähnelte der von UTA0352, unterscheidet sich jedoch in einem entscheidenden Detail.
Missbrauch legitimer Microsoft-Schnittstellen
Wie auch bei früheren Angriffen nutzten die Angreifer die reguläre Microsoft 365-Authentifizierungs-API, um Zugriff auf E-Mail-Daten der Opfer zu erhalten. Allerdings gingen sie diesmal einen Schritt weiter: Der gestohlene OAuth-Autorisierungscode wurde verwendet, um dauerhaft ein neues Gerät in der Microsoft Entra ID (vormals Azure Active Directory) des Opfers zu registrieren. Damit sicherten sich die Angreifer einen persistenten Zugang.
Zweite Manipulationsstufe: Zwei-Faktor-Bestätigung erschlichen
In der nächsten Phase des Angriffs versuchte UTA0355 die Opfer zu überzeugen, eine Zwei-Faktor-Authentifizierungsanfrage zu bestätigen. Ziel war es, die vollständige Übernahme des Kontos zu ermöglichen.
„In dieser Interaktion forderte UTA0355 das Opfer auf, eine Zwei-Faktor-Authentifizierungsanfrage zu bestätigen, um angeblich Zugriff auf eine SharePoint-Instanz zur Konferenzteilnahme zu erhalten“, so Volexity. „Dies war notwendig, um zusätzliche Sicherheitsmaßnahmen zu umgehen, die von der Organisation des Opfers eingerichtet worden waren.“
Umgehung von ortsbezogenen Sicherheitsmaßnahmen
Die Angreifer nutzen für all ihre Aktionen Proxy-Netzwerke, deren IP-Adressen geografisch zum Standort des Opfers passen. So wirken die Anmeldeversuche legitim und entgehen vielen Sicherheitssystemen. Da ausschließlich Microsofts eigene Anwendungen und APIs verwendet werden – für die die Nutzer bereits standardmäßig Berechtigungen erteilt haben – bleiben herkömmliche Schutzmechanismen oft wirkungslos.
Diese neue Angriffsmethode ist ein Paradebeispiel dafür, wie legitime Dienste missbraucht werden können, ohne sichtbare Spuren zu hinterlassen. Keine Schadsoftware, keine kompromittierten Webseiten – nur überzeugende Kommunikation und das geschickte Ausnutzen standardisierter Log-in-Prozesse.