Aanvallers maken Microsoft OAuth-applicaties na voor MFA-phishing

Het cluster is ontdekt door Proofpoint. Het doel van de campagnes is om OAuth-applicaties te gebruiken als toegangspoort voor andere activiteiten, voornamelijk om toegang te verkrijgen tot Microsoft 365-accounts via MFA-phishing. De phishingcampagnes maken gebruik van zogeheten multifactorauthenticatie attacker-in-the-middle phishingkits, waarbij het voornamelijk gaat om Tycoon. Dergelijke activiteiten kunnen worden gebruikt voor informatieverzameling, het installeren van malware of het uitvoeren van aanvullende phishingcampagnes vanuit gecompromitteerde accounts.

Meer dan 50 geïmiteerde applicaties

De techniek is waargenomen in e-mailcampagnes met meer dan 50 geïmiteerde applicaties en meerdere verschillende phishingkits die deze aanvalsketen gebruiken, waaronder Tycoon en ODx. De waargenomen apps zijn gerapporteerd aan Microsoft. Microsoft kondigde in juni 2025 aan dat het de standaardinstellingen in Microsoft 365 bijwerkt door verouderde authenticatieprotocollen te blokkeren en beheerdersgoedkeuring te vereisen voor toegang tot apps van derden. Deze wijzigingen beginnen medio juli 2025 en zijn voltooid in augustus 2025. Deze update zal een positieve impact hebben op het algehele landschap en zal bedreigingsactoren die deze techniek gebruiken, belemmeren.

Steeds innovatievere aanvalsketens

Bedreigingsactoren creëren steeds innovatievere aanvalsketens om detecties te omzeilen en wereldwijd toegang te verkrijgen tot organisaties. Onderzoekers verwachten dat bedreigingsactoren steeds vaker de identiteit van gebruikers zullen aanvallen, waarbij attacker-in-the-middle credential phishing de criminele industriestandaard wordt.

Er zijn verschillende manieren om een organisatie te helpen verdedigen tegen geavanceerde hybride bedreigingen:

• E-mailbeveiliging: Blokkeer en monitor kwaadaardige e-mailbedreigingen die gebruikers aanvallen. Effectieve preventieoplossingen kunnen de praktische aanvalsoppervlakken aanzienlijk minimaliseren.
• Cloudbeveiliging: Identificeer accountovername en ongeautoriseerde toegang tot gevoelige bronnen binnen een cloudomgeving. Deze oplossingen moeten nauwkeurige en tijdige detectie bieden van zowel de initiële accountcompromittering als activiteiten na de compromittering, inclusief inzicht in misbruikte services en applicaties. Pas automatische herstelmogelijkheden toe om de verblijftijd van aanvallers en potentiële schade te verminderen.
• Webbeveiliging: Isoleer potentieel kwaadaardige sessies die zijn gestart door links die zijn ingesloten in e-mailberichten.
• Beveiligingsbewustzijn: Train gebruikers om zich bewust te zijn van deze risico's bij het gebruik van Microsoft 365.
• FIDO: Overweeg het gebruik van FIDO-gebaseerde fysieke beveiligingssleutels.

Meer informatie is hier te vinden.