DEBULL Tooling maakt misbruik van Microsoft-apparaatcodestroom om M365-accounts te targeten

Er is tussen de laatste week van juni 2026 en begin juli een Microsoft 365-apparaatcode-phishing-campagne waargenomen waarbij gebruik werd gemaakt van lokmiddelen met een samenwerkingsthema om de controle over slachtofferaccounts over te nemen, volgens bevindingen van ZeroBEC.

“De campagne was niet afhankelijk van een valse Microsoft-wachtwoordpagina. Er werd gebruik gemaakt van een kwaadaardige lokmiddel in samenwerkingsstijl om gebruikers naar de legitieme inlogervaring van Microsoft-apparaten te duwen, terwijl een backend-makelaar Microsoft Authentication Broker-apparaatcodetokens genereerde en ondervroeg”, aldus het e-mailbeveiligingsbedrijf in een rapport gedeeld met The Hacker News.

Er wordt aangenomen dat de activiteit “sterke” overlappingen vertoont met een campagne die in februari 2025 door Microsoft werd gedocumenteerd onder de naam Storm-2372, inclusief het gebruik van berichten of lokmiddelen in Teams-stijl om nietsvermoedende slachtoffers te misleiden tot het invoeren van een door de aanvaller verstrekte apparaatcode, samen met hun inloggegevens, waardoor de bedreigingsacteur effectief het token kan herstellen en hun account kan kapen.

Ondanks deze overeenkomsten wordt geoordeeld dat de dreigingsactoren gebruik maken van een beroep in de stijl van Storm-2372 via wat is beschreven als een herbruikbare gereedschapslaag genaamd DEBULL.

Phishing met apparaatcode verwijst naar een techniek voor identiteitsdiefstal waarbij aanvallers misbruik maken van een legitiem OAuth 2.0-authenticatiemechanisme, met name de Device Authorization Grant-stroom, om multi-factor authenticatie (MFA) te omzeilen en blijvende accounttoegang te verkrijgen zonder gebruikerswachtwoorden te hoeven stelen.

In tegenstelling tot traditionele phishing-aanvallen waarbij de operators nep-adversary-in-the-middle (AitM)-inlogpagina’s moeten opzetten, berust phishing op apparaatcode op het manipuleren van een gebruiker om een ​​echte, vertrouwde authenticatieprompt in te vullen.

Apparaatcodeverificatie is volgens Microsoft een legitieme OAuth-stroom die is ontworpen voor apparaten met beperkte interfaces, zoals smart-tv’s of printers, die geen traditionele interactieve aanmelding ondersteunen. In dit scenario krijgt een gebruiker een korte code te zien op het apparaat waarmee hij zich probeert aan te melden en wordt hij gevraagd die code in een webbrowser op een afzonderlijk apparaat in te voeren om de authenticatie te voltooien.

Bedreigingsactoren hebben deze scheiding misbruikt om zichzelf in te voegen en de authenticatiestroom te initiëren. Vervolgens delen ze die code met het doelwit via een phishing-lokmiddel. Wanneer de gebruiker de code invoert, autoriseert hij dus zonder dat hij het weet de sessie van de bedreigingsacteur, waardoor hij toegang krijgt tot het account.

“Phishing met apparaatcode dringt niet binnen”, merkt Huntress op. “Het maakt gebruik van een legitieme authenticatiestroom om zo door de voordeur te lopen, zonder dat een wachtwoord vereist is, MFA wordt omzeild en sessietokens rechtstreeks aan de aanvaller worden overhandigd.”

Succesvolle phishing-aanvallen op apparaatcodes kunnen de volledige overname van accounts, diefstal van waardevolle informatie, fraude, zakelijke e-mailcompromis (BEC), zijdelingse verplaatsing binnen een gecompromitteerde omgeving en zelfs ontwrichtende aanvallen zoals ransomware vergemakkelijken.

“Bij de meeste huidige phishing-aanvallen met apparaatcode wordt de code dynamisch gegenereerd wanneer een gebruiker op de eerste phishing-link klikt. Deze ogenschijnlijk kleine verandering stelt de gebruiker in staat de e-mail op elk moment te bekijken om de aanvalsketen op gang te brengen”, aldus Proofpoint in een analyse gepubliceerd in mei 2026. “Deze nieuwe implementaties van de aanvalsketens met apparaatcode kunnen worden gekocht via phishing-as-a-service (PhaaS) -aanbiedingen, zoals EvilTokens of Tycoon, of worden gemaakt en zijn eigendom van de dreiging acteur die de campagnes leidt.

Het is ook bekend dat deze campagnes gebruik maken van Account Takeover (ATO) Jumping, een techniek waarbij een aanvaller een aanvankelijk e-mailaccount compromitteert en dit vervolgens misbruikt om phishing-links naar een bredere groep contacten te sturen in de vorm van een knop, hyperlinktekst, ingebed in een document of een QR-code. Wanneer de links door de ontvanger worden bezocht, initiëren ze een aanvalsreeks waarbij gebruik wordt gemaakt van het apparaatautorisatieproces van Microsoft.

ZeroBEC zei dat de campagne die het observeerde gebruik maakt van het gebruik van voorwendsels voor betalingen en gedeelde mappen in phishing-e-mails om slachtoffers te misleiden zodat ze op een URL klikken die hen naar een legitieme maar gecompromitteerde Kroatische verhuurwebsite brengt, die op zijn beurt fungeert als een apparaatcode-orkestrator die wordt gebruikt om de Microsoft-apparaatcode-uitdagingsketen te initiëren.

De workflow wordt gekenmerkt door de aanwezigheid van Turkstalige ontwikkelaarsmarkeringen, hoewel de aanwijzingen niet voldoende zijn om de herkomst van de campagne definitief vast te stellen. Uit verdere analyse van de infrastructuur is gebleken dat DEBULL waarschijnlijk een phishing-as-a-service (PhaaS)-platform is dat gebruikmaakt van GraphSpy of een van GraphSpy afgeleide workflow voor Microsoft 365 en Entra na de exploitatie.

“Operators kunnen een paginanaam en slug definiëren, HTML, CSS en JavaScript rechtstreeks bewerken en vervolgens kiezen hoe het kunstaas wordt gepubliceerd”, aldus ZeroBEC. “De ingesloten sjablonen bevatten een Microsoft 365-apparaatcode-authenticatiepagina, een OAuth-callback-pagina en een moderne landingspagina. De Microsoft 365-sjabloon is vooral belangrijk omdat deze de exacte bouwsteen blootlegt die door de campagne wordt gebruikt: een weergave van gebruikerscode, kopieercodegedrag en een link naar inloggen op Microsoft-apparaten.”

“De nuttiger conclusie is dat identiteitshandel in Storm-2372-stijl nu wordt verpakt in een herbruikbare makelaarsinfrastructuur. DEBULL biedt de campagnegerichte en operatorgerichte laag. GraphSpy of van GraphSpy afgeleide code verwerkt waarschijnlijk de post-authenticatielaag. De aantrekkingskracht kan worden gewijzigd zonder de backend-identiteitsstapel te wijzigen.”

De onthulling komt op het moment dat Cisco Talos zei dat het een volledig uitgerust PhaaS-operatorpaneel met de merknaam ARToken heeft geïdentificeerd dat infrastructuur, API-contracten en operationele patronen deelt met het EvilTokens-phishing-platform voor apparaatcodes en beschikbaar wordt gesteld aan aangesloten bedrijven.

“Het ARToken-paneel biedt meer dan 80 API-eindpunten voor apparaatcodephishing, Primary Refresh Token (PRT) persistentie, e-mailtoegang, zakelijke e-mailcompromis (BEC)-bewerkingen en SharePoint-exfiltratie – allemaal toegankelijk voor operators via een op React gebaseerd dashboard”, aldus Talos.

EvilTokens stellen aanvallers, net als DEBULL, in staat geoogste tokens te bewapenen om e-mails, bestanden en andere gevoelige gegevens uit gecompromitteerde Microsoft-accounts te exfiltreren, verkenningen uit te voeren via de Microsoft Graph API en persistentietoegang tot stand te brengen. Bovendien bevat het op kunstmatige intelligentie (AI) gebaseerde functies om BEC-workflows te automatiseren en te schalen, zoals het doorzoeken van duizenden verzamelde e-mails, het identificeren van financieel-gerelateerde e-mailthreads en het opstellen van BEC-e-mails.

ARToken functioneert als een complete post-compromis toolkit waarmee operators het vastgelegde toegangstoken kunnen gebruiken dat is hersteld na succesvolle verificatie van de apparaatcode om de toegang te behouden, e-mailbewerkingen uit te voeren, toegang te krijgen tot OneDrive en SharePoint en door Microsoft 365-sessies van slachtoffers buiten het paneel te bladeren met behulp van een speciale tool die bekend staat als ARTBrowser.

“Deze kenmerken geven aan dat het platform volwassener is dan een eenvoudige phishing-kit voor apparaatcodes: het is een complete BEC-operatieomgeving”, aldus Talos-onderzoeker Michael Kelley.

De toename van het aantal phishing-aanvallen op apparaatcodes heeft er ook toe geleid dat andere PhaaS-kits zoals Tycoon 2FA de techniek hebben overgenomen om Microsoft 365-accounts te kapen in de heropleving na een wetshandhavingsoperatie, wat een bredere verschuiving binnen het dreigingslandschap aangeeft.

“Tycoon 2FA-operators hebben hun bestaande PhaaS-kit opnieuw gebruikt als raamwerk voor OAuth-apparaatcodetoekenningsphishing”, merkte eSentire in mei 2026 op. “De aanval begint wanneer een slachtoffer op een Trustifi-kliktracking-URL in een lokkende e-mail klikt en culmineert in het feit dat het slachtoffer onbewust OAuth-tokens toekent aan een door de aanvaller bestuurd apparaat via de legitieme apparaataanmeldingsstroom van Microsoft op microsoft.com/devicelogin.”

Thijs Van der Does