
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Kampania oparta na narzędziu DEBULL pokazuje, że współczesny phishing coraz częściej nie polega już na kierowaniu ofiary na fałszywą stronę logowania. W tym przypadku atakujący nadużywają legalnego mechanizmu OAuth 2.0 Device Authorization Grant, aby nakłonić użytkownika Microsoft 365 do wpisania kodu urządzenia w prawdziwym procesie logowania Microsoft.
Taki scenariusz określa się jako device code phishing. Z perspektywy ofiary wszystko może wyglądać wiarygodnie, ponieważ logowanie odbywa się w zaufanym środowisku, a nie na podrobionej witrynie. To właśnie sprawia, że atak jest trudniejszy do rozpoznania i potencjalnie skuteczniejszy niż klasyczne kampanie wyłudzające hasła.
W skrócie
- Ataki były wymierzone w użytkowników Microsoft 365 i bazowały na przynętach związanych z dokumentami, współpracą oraz płatnościami.
- Ofiara była kierowana do legalnego procesu logowania Microsoft, gdzie wpisywała kod wygenerowany wcześniej przez napastnika.
- W efekcie cyberprzestępca mógł uzyskać tokeny sesyjne i przejąć dostęp do konta bez kradzieży hasła w tradycyjnym sensie.
- DEBULL pełni rolę zaplecza operacyjnego, które upraszcza przygotowanie i skalowanie kampanii phishingowych.
- Mechanizm wykazuje podobieństwa do technik opisywanych wcześniej w kampaniach typu device code phishing wymierzonych w tożsamość użytkowników.
Kontekst / historia
Mechanizm device authorization grant został zaprojektowany z myślą o urządzeniach o ograniczonym interfejsie, takich jak telewizory, drukarki czy niektóre urządzenia IoT. Użytkownik otrzymuje krótki kod i kończy proces logowania na innym urządzeniu, zwykle w przeglądarce.
Choć rozwiązanie to jest wygodne i zgodne z nowoczesnymi standardami uwierzytelniania, od pewnego czasu stanowi atrakcyjny wektor socjotechniczny. Zamiast tworzyć skomplikowane strony phishingowe, napastnicy wykorzystują prawdziwy proces logowania i przekonują użytkownika do autoryzowania sesji przygotowanej przez atakującego.
W ostatnich latach obserwowany jest wzrost znaczenia ataków na warstwę tożsamości, zwłaszcza tych wykorzystujących tokeny, sesje i uprawnienia aplikacyjne. DEBULL wpisuje się w ten trend jako przykład dojrzalszego, wielokrotnego użytku zaplecza dla kampanii wymierzonych w konta Microsoft 365.
Analiza techniczna
Sednem operacji jest nadużycie legalnego przepływu OAuth 2.0 Device Authorization Grant. Atakujący inicjuje proces autoryzacji, uzyskuje kod urządzenia i przygotowuje kontekst logowania, a następnie przekazuje ofierze wiadomość phishingową zachęcającą do wykonania określonej czynności.
Po kliknięciu użytkownik trafia do strony pośredniej, która instruuje go, aby zalogował się do prawdziwego portalu Microsoft i wpisał wskazany kod. To kluczowy element ataku: ofiara nie wpisuje danych uwierzytelniających na fałszywej stronie, lecz przechodzi autoryzację w legalnym środowisku. Dzięki temu maleje szansa, że użytkownik uzna proces za podejrzany.
W analizowanej kampanii istotną rolę odgrywała kompromitowana, lecz legalnie istniejąca strona internetowa, działająca jako pośrednik i orkiestrator całego łańcucha. Taka warstwa może prezentować instrukcje, kod użytkownika oraz obsługiwać logikę przejścia między etapami ataku.
DEBULL wygląda na modularną platformę, która oddziela warstwę socjotechniczną od zaplecza odpowiedzialnego za przejęcie tokenów i dalsze działania po uzyskaniu dostępu. W praktyce może to oznaczać gotowe szablony stron lądowania, komponenty do prezentowania kodu, mechanizmy callback oraz ujednolicony backend dla wielu kampanii.
Taki model zwiększa skalowalność operacji. Operatorzy mogą zmieniać temat wiadomości, język, przynęty i wygląd landing page, zachowując ten sam mechanizm przejęcia dostępu. Dodatkowo pojawiają się przesłanki, że po skutecznej autoryzacji napastnicy mogą wykorzystywać dostęp do usług Microsoft 365 i interfejsów takich jak Microsoft Graph do dalszego rekonesansu, odczytu poczty, dostępu do plików lub utrzymania obecności w środowisku.
Istotnym elementem ryzyka jest także możliwość tzw. account takeover jumping. Po przejęciu jednego konta legalna skrzynka ofiary może zostać wykorzystana do wysyłania kolejnych wiadomości phishingowych do partnerów, klientów i współpracowników, co zwiększa wiarygodność następnych etapów kampanii.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem takiego ataku jest przejęcie konta Microsoft 365 bez konieczności pozyskania hasła metodą klasyczną. Jeżeli użytkownik zatwierdzi sesję napastnika, atakujący może uzyskać dostęp do poczty, plików, Teams, SharePoint i OneDrive.
- kradzież danych biznesowych i dokumentów,
- podgląd oraz przejęcie korespondencji e-mail,
- przygotowanie ataków BEC i oszustw płatniczych,
- tworzenie reguł skrzynkowych ukrywających aktywność napastnika,
- ruch boczny w środowisku SaaS i warstwie tożsamości,
- utrzymanie dostępu przy użyciu tokenów lub innych artefaktów sesyjnych.
Szczególnie niebezpieczne jest to, że tradycyjne podejście do MFA nie zawsze wystarczy. W tym scenariuszu użytkownik sam wykonuje prawidłowy proces logowania i autoryzuje dostęp, dlatego problem nie polega na obejściu MFA technicznie, lecz na skutecznym zmanipulowaniu ofiary.
Rekomendacje
Organizacje korzystające z Microsoft 365 powinny traktować device code phishing jako realny i rozwijający się wektor ataku. W praktyce warto wdrożyć następujące działania:
- ograniczyć lub wyłączyć device code flow tam, gdzie nie jest potrzebny biznesowo,
- wdrożyć phishing-resistant MFA, na przykład metody FIDO2,
- monitorować zdarzenia Entra ID oraz nietypowe logowania związane z device authorization,
- analizować aktywność po uwierzytelnieniu, w tym użycie tokenów, reguły skrzynkowe, pobrania plików i anomalie Microsoft Graph,
- szkolić użytkowników także z rozpoznawania scenariuszy opartych na legalnych portalach logowania,
- weryfikować nietypowe prośby nawet wtedy, gdy pochodzą z prawdziwych skrzynek partnerów lub współpracowników,
- przygotować procedury natychmiastowego unieważniania sesji i tokenów po wykryciu incydentu.
Podsumowanie
DEBULL jest kolejnym sygnałem, że phishing tożsamościowy staje się coraz bardziej zindustrializowany. Zamiast prostych stron podszywających się pod Microsoft, napastnicy sięgają po legalne przepływy uwierzytelniania i gotowe platformy operatorskie, które ułatwiają prowadzenie skutecznych kampanii na dużą skalę.
Dla obrońców oznacza to konieczność przesunięcia uwagi z samego filtrowania wiadomości na kontrolę procesów uwierzytelniania, monitorowanie tokenów i wykrywanie nadużyć po zalogowaniu. W świecie Microsoft 365 tożsamość, sesja i autoryzacja stają się dziś jednym z najważniejszych pól walki w cyberbezpieczeństwie.
Źródła
- https://thehackernews.com/2026/07/debull-tooling-abuses-microsoft-device.html
- https://www.microsoft.com/en-us/security/blog/2025/02/13/storm-2372-conducts-device-code-phishing-campaign/
- https://learn.microsoft.com/nb-no/Entra/identity-platform/v2-oauth2-device-code
- https://blog.talosintelligence.com/category/top-story/