Railway PaaS används i massiv Microsoft 365 device code phishing-kampanj

En device code phishing-kampanj som använder Railways Platform-as-a-Service-infrastruktur har komprometterat Microsoft 365-konton hos hundratals organisationer i fem länder. Cybersäkerhetsforskare rapporterar att angripare har använt Railway.coms containeriserade värdplattform för att distribuera infrastruktur för stöld av inloggningsuppgifter i maskinell hastighet, med AI-genererade phishing-lockbeten som kringgår kommersiella e-postfilter.

Kampanjen tillskrivs EvilTokens’ Phishing-as-a-Service (PhaaS)-plattform, som först annonserades på NOIRLEGACY GROUPs Telegram-kanal, med sitt första offentliga inlägg den 16 februari 2026. Kampanjen upptäcktes första gången den 19 februari 2026, med ytterligare två fall den 24 februari. Den accelererade kraftigt den 2 mars och har fortsatt i samma takt, med över 340 organisationer i USA, Kanada, Australien, Nya Zeeland och Tyskland som mål. Per den 23 mars blockerades 113 intrångsförsök, utöver de cirka 350 lyckade attackerna som rapporterades under de föregående två veckorna.

Device Code Flow kringgår MFA helt

Angriparna utnyttjar Microsofts device code-autentiseringsflöde, en legitim funktion designad för enheter utan webbläsare. Användare får en kod via e-post och matar in den på Microsofts egen inloggningsportal — men angriparen stjäl de resulterande autentiseringstokens utan att någonsin röra användarens lösenord eller MFA-prompt. Säkerhetsforskare bekräftade att angreppet kringgår multifaktorautentisering helt eftersom användare autentiserar sig på Microsofts legitima endpoint.

Det som gör denna kampanj ovanlig är mångfalden av angreppsvektorer som träffar samma offergrupp genom samma Railway.com IP-infrastruktur. Forskare observerade byggentreprenad-lockbeten, DocuSign-imitation, röstmeddelande-notifieringar och missbruk av Microsoft Forms-sidor — alla riktade mot samma organisationer. Variationen väcker frågor om detta är en threat actor med ett ovanligt brett verktygsset eller flera aktörer som delar samma backend.

AI-lockbeten eliminerar upptäckt av e-postfilter

Varje phishing-meddelande var skräddarsytt för att undvika exakt duplicering, vilket fick forskare att dra slutsatsen att ”kampanjen utnyttjar automation eller AI för att operera i stor skala.” De personaliserade lockbetena undviker e-postfiltreringslösningar just eftersom inga två meddelanden är identiska — ett problem som traditionell signaturbaserad upptäckt inte kan lösa.

Railways plattform ger angriparna rent IP-rykte, automatiska TLS-certifikat och ingen identitetsverifiering på den kostnadsfria nivån. Rich Mozeleski berättade för CyberScoop att ”granskning och validering av den kostnadsfria användningen av deras produkt kunde förbättras,” och jämförde Railway negativt med tjänster som MailChimp och HubSpot som har kontroller för att förhindra massivt missbruk.

Railways lösningsingenjör Angelo Saraceno sa att företaget först kontaktades av Huntress den 6 mars angående phishing-trafik från en specifik IP-adress men gav inga detaljer om vidtagna åtgärder. Tidpunkten tyder på att Railway var omedvetet om missbruket i minst två veckor efter att det började.

Nödåtgärder Vidtagna för 60 000 Klienter

Kampanjens omfattning föranledde en nöduppdatering av policyn för villkorsstyrd åtkomst för 60 000 Microsoft-molnklienter på onsdagen, som blockerar e-post från Railway-domäner — en åtgärd som Mozeleski beskrev som utan motstycke. Nödpolicyn blockerar kända angriparnas IP-adresser men täcker endast bekräftad infrastruktur för denna specifika kampanj.

Forskare fortsatte att se mer än 50 komprometterings per dag kopplade till Railway phishing-domäner så sent som fredagen den 22 mars. Den ihållande volymen tyder på att angriparna har etablerat ett pålitligt operativt arbetsflöde med Railways infrastruktur.

Blockera Device Code Flow om du inte behöver det

Microsoft lade till ett Authentication Flows-villkor till conditional access policies specifikt för att hantera device code phishing. Om din organisation inte använder device code-autentisering, blockera det helt via conditional access. Om du behöver device code flow, begränsa det till endast de specifika identiteter som kräver denna metod.

Aktivera Continuous Access Evaluation (CAE) för att minska latensen för token-återkallelse från cirka en timme till minuter. Kräv kompatibla enheter för Exchange Online och SharePoint — device code-autentisering kan inte fortsätta om enheten inte är kompatibel när kompatibla enheter krävs.

Utbilda användare att mata in device codes, även på Microsofts legitima autentiseringsendpoint, inte nödvändigtvis är säkert. Angreppet lyckas eftersom användare litar på Microsofts portal och matar in koder de fått via e-post utan att verifiera förfrågans äkthet.

References

1. Threat Actors Abuse Railway.com PaaS as Microsoft 365 Token Attack Infrastructure
2. AI-powered phishing campaign compromises hundreds of organizations
3. Huntress Blocks Device Code Phishing from Railway Infrastructure

This post is also available in: English

Related News

Rysk militär underrättelsetjänst kapade routrar i omfattande DNS-kampanj

april 8, 2026

Irans cyberproxies inleder omfattande vedergällning mot västerländska nätverk

Irans offensiva cyberkapacitet har växlat upp efter gemensamma amerikansk-israeliska militära angrepp i slutet av februari 2026. Flera iranska statslänkade grupper och hacktivist-proxies genomför nu koordinerade…

mars 10, 2026

SmartLoader-gänget bygger falskt GitHub-ekosystem för att sprida StealC via trojaniserad Oura MCP

En känd cyberbrottsoperation har under månader byggt upp ett omfattande falskt GitHub-ekosystem för att förgifta AI-utvecklingens supply chain. SmartLoader-gänget, först identifierat 2024, klonade en legitim…

februari 17, 2026