Исследователи в области кибербезопасности бьют тревогу: масштабная фишинговая кампания, использующая метод Device Code Phishing, нацелилась на учетные записи Microsoft 365. Под удар попали более 340 организаций из пяти стран — Соединенных Штатов, Канады, Австралии, Новой Зеландии и Германии.
Специалисты компании Huntress впервые зафиксировали подозрительную активность 19 февраля 2026 года. С тех пор количество инцидентов начало стремительно расти. Отличительная особенность этой кампании — злоумышленники активно используют перенаправления через Cloudflare Workers, а перехваченные сессии направляют на инфраструктуру, размещенную на платформе Railway (PaaS). Вся эта схема работает как единый механизм по сбору учетных данных.
В зоне поражения оказались ключевые отрасли: строительство, некоммерческий сектор, недвижимость, производство, финансовые услуги, здравоохранение, юридические фирмы и государственные учреждения.
«Эта кампания примечательна не только самим методом Device Code Phishing, но и разнообразием используемых техник», — отмечают эксперты Huntress. В рамках одной волны атак жертвы получают письма с разными легендами: приглашения к участию в тендерах, уведомления о голосовых сообщениях, поддельные документы DocuSign, ссылки на формы Microsoft Forms и автоматически сгенерированные посадочные страницы. Все эти векторы ведут на одну и ту же инфраструктуру с IP-адресами Railway.com.
Device Code Phishing — это техника, которая эксплуатирует легитимный OAuth-поток авторизации устройств. Вместо кражи пароля злоумышленники получают постоянные токены доступа, которые остаются действительными даже после смены пароля жертвой.
Злоумышленник через API отправляет запрос на получение кода устройства к провайдеру идентификации (в данном случае — Microsoft Entra ID).
Сервис возвращает уникальный код.
Жертва получает убедительное письмо с просьбой перейти на официальную страницу входа microsoft[.]com/devicelogin и ввести этот код.
После того как пользователь вводит код, свои логин, пароль и код двухфакторной аутентификации, система генерирует токен доступа и токен обновления.
«После того как пользователь попался на удочку, его аутентификация порождает набор токенов, которые теперь хранятся в API токенов OAuth. Злоумышленник, разумеется, знает код устройства, поскольку он был сгенерирован его собственным запросом к API, — объясняют в Huntress. — Сам по себе код бесполезен, но как только жертва проходит аутентификацию, полученные токены становятся доступны любому, кто знает этот код».
Впервые применение Device Code Phishing задокументировали Microsoft и Volexity в феврале 2025 года. Впоследствии подобные атаки описывали Amazon Threat Intelligence и Proofpoint. Связывают эти кампании с несколькими группами, связанными с Россией: Storm-2372, APT29, UTA0304, UTA0307 и UNK_AcademicFlare.
Коварство метода в том, что он использует легитимную инфраструктуру Microsoft для проведения авторизации, что не вызывает у пользователей подозрений.
В кампании, обнаруженной Huntress, фиксируется небольшой пул IP-адресов Railway.com. Три из них составляют около 84% всех наблюдаемых событий:
162.220.234[.]41
162.220.234[.]66
162.220.232[.]57
162.220.232[.]99
162.220.232[.]235
Отправной точкой служит фишинговое письмо, в котором вредоносные ссылки обернуты в легитимные сервисы перенаправления от Cisco, Trend Micro и Mimecast. Это позволяет обойти спам-фильтры и создать многоступенчатую цепочку редиректов через скомпрометированные сайты, Cloudflare Workers и Vercel, прежде чем жертва попадет на финальную страницу.
«Наблюдаемые посадочные страницы предлагают жертве перейти на официальный endpoint аутентификации Microsoft и ввести предоставленный код для доступа к файлам, — рассказывают исследователи. — Код отображается прямо на странице в момент перехода жертвы. Это интересная вариация тактики: обычно злоумышленник должен сначала сгенерировать код, а затем передать его жертве. Здесь же жертва получает код мгновенно благодаря автоматизации».
На странице присутствует кнопка «Continue to Microsoft», при нажатии которой открывается всплывающее окно с легитимным адресом аутентификации microsoft[.]com/devicelogin.
Практически все фишинговые сайты в этой кампании размещены на доменах Cloudflare workers[.]dev. Злоумышленники намеренно используют доверие, которое вызывает этот сервис в корпоративной среде, чтобы обойти веб-фильтры.
Специалисты рекомендуют организациям:
анализировать журналы входа на предмет авторизаций с IP-адресов Railway;
отзывать все токены обновления для скомпрометированных учетных записей;
по возможности блокировать попытки аутентификации с инфраструктуры Railway.
Исследователи Huntress связали эту кампанию с новой платформой Phishing-as-a-Service (PhaaS) под названием EvilTokens, которая была запущена в Telegram месяцем ранее. Платформа предлагает инструменты для рассылки фишинговых писем, обхода спам-фильтров, а также предоставляет клиентам открытые редиректы на уязвимые домены для маскировки фишинговых ссылок.
«Помимо быстрого расширения функциональности, команда EvilTokens развернула круглосуточную службу поддержки и канал обратной связи. Они также учитывают пожелания клиентов», — отмечается в отчете.
Специалисты Palo Alto Networks Unit 42 также предупреждают о схожей кампании Device Code Phishing, в которой используются методы защиты от автоматического анализа. Фишинговая страница:
отключает контекстное меню, выделение текста и операции перетаскивания;
блокирует сочетания клавиш для вызова инструментов разработчика (F12, Ctrl+Shift+I/C/J) и просмотра исходного кода (Ctrl+U);
обнаруживает открытые инструменты разработчика с помощью эвристики размера окна и запускает бесконечный цикл отладки.
Кроме того, при загрузке страницы происходит сбор и передача злоумышленнику файлов cookie браузера. Самые ранние признаки этой кампании датируются 18 февраля 2026 года.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Telegram ужесточил модерацию после задержания Павла Дурова в конце лета 2024 года. Новые правила, вступившие в силу в феврале 2025-го, привели к масштабной зачистке: за год администрация удалила свыше 43,5 миллионов каналов и групп. Однако, как показало свежее исследование компании Check Point, преступная инфраструктура внутри мессенджера не просто выжила, а адаптировалась к изменившимся условиям, научившись обходить даже самые жесткие ограничения.
Критическая уязвимость в платформе Langflow подверглась активной эксплуатации уже через 20 часов после публичного раскрытия информации. Этот инцидент наглядно демонстрирует, с какой скоростью злоумышленники превращают свежеопубликованные уязвимости в рабочие инструменты для атак.
Популярный сканер уязвимостей с открытым исходным кодом Trivy, развиваемый компанией Aqua Security, подвергся повторному взлому. Всего за месяц это уже второй инцидент, в ходе которого злоумышленники внедрили вредоносное программное обеспечение, нацеленное на кражу конфиденциальных секретов из CI/CD-окружений.