یک گروه منتسب به روسیه با اجرای کمپین فیشینگ پیشرفتهای، از Device Code Authentication در Microsoft 365 برای سرقت دسترسی کاربران و Account Takeover استفاده میکند.
این فعالیت که از سپتامبر ۲۰۲۵ آغاز شده، توسط Proofpoint با نام UNK_AcademicFlare ردیابی میشود. مهاجمان با استفاده از ایمیلهای لو رفته متعلق به نهادهای دولتی و نظامی، سازمانهایی در حوزه دولت، اندیشکدهها، آموزش عالی و حملونقل در آمریکا و اروپا را هدف قرار دادهاند.
در سناریوی حمله، ابتدا ارتباطی کاملاً عادی و حرفهای با قربانی برقرار میشود (مثلاً درخواست مصاحبه یا جلسه تخصصی). سپس لینکی برای مشاهده یک فایل یا سوالات جلسه ارسال میشود. این لینک به یک Cloudflare Worker جعلی هدایت میشود که ظاهراً شبیه OneDrive فرستنده است.
کاربر پس از کلیک، به صفحه رسمی Microsoft Device Code Login منتقل میشود و با وارد کردن کدی که مهاجم داده، در واقع توکنی صادر میکند که به مهاجم اجازه کنترل کامل حساب Microsoft 365 را میدهد.
این تکنیک پیشتر توسط Microsoft و Volexity افشا شده و به گروههایی مانند APT29، Storm-2372 و UTA0307 نسبت داده شده است. Proofpoint هشدار میدهد که این روش اکنون بهطور گسترده توسط بازیگران دولتی و حتی گروههای مالیمحور، با استفاده از ابزارهایی مانند Graphish و SquarePhish، مورد سوءاستفاده قرار میگیرد.
راهکار پیشنهادی
بهترین اقدام دفاعی، مسدودسازی Device Code Flow از طریق Conditional Access یا محدودسازی آن فقط به کاربران و IPهای مشخص است.
🧠 تحلیل Vulnerbyte
این حمله یک نکته مهم را دوباره یادآوری میکند:
امنترین مکانیزمهای احراز هویت هم اگر در مدل تهدید سازمان لحاظ نشوند، تبدیل به بردار حمله میشوند.
Device Code Flow ذاتاً برای دستگاههای بدون مرورگر طراحی شده، اما در عمل:
MFA را دور میزند
روی دامنههای رسمی مایکروسافت انجام میشود
کاربر را فریب نمیدهد، بلکه از او «همکاری قانونی» میگیرد
این یعنی آموزش کاربر بهتنهایی کافی نیست؛ کنترل باید در لایه Identity اعمال شود.
