Kali365: Kỹ Thuật Phishing Vô Hiệu Hóa MFA và Chiếm Quyền Microsoft 365
Hàng trăm tổ chức bị xâm nhập trong vài tuần. Nạn nhân không bao giờ nhập mật khẩu vào trang web giả mạo, không nhận cảnh báo nào từ ứng dụng MFA, không mắc bẫy domain tên gần giống kiểu cổ điển. Họ chỉ làm đúng điều mà email hướng dẫn: truy cập trang microsoft.com chính thức và nhập một đoạn mã ngắn. Phần còn lại là công việc của Kali365.
Caption: Mô hình mạng lưới chiến dịch phishing quy mô lớn, đặc trưng cho các nền tảng PhaaS hiện đại
Tổng quan
Vào cuối tháng 5, phía FPT ghi nhận các chuyên gia hàng đầu thế giới phát cảnh báo chính thức PSA I-052126-PSA về Kali365, một nền tảng Phishing-as-a-Service (PhaaS) lần đầu xuất hiện vào tháng 4/2026, phân phối chủ yếu qua Telegram với mức giá ước tính 250 USD/tháng hoặc 2.000 USD/năm. Ngay cả kẻ tấn công không có kỹ năng kỹ thuật cao cũng có thể sử dụng Kali365 để tổ chức chiến dịch đánh cắp tài khoản Microsoft 365 ở quy mô lớn.
Điểm nguy hiểm cốt lõi: Kali365 không đánh cắp mật khẩu hay mã MFA. Thay vào đó, nền tảng này lạm dụng OAuth 2.0 device authorization flow, một cơ chế xác thực hợp pháp của Microsoft, để thu thập access token và refresh token trực tiếp. Token một khi bị đánh cắp cho phép truy cập liên tục vào Outlook, Teams, OneDrive và toàn bộ hệ sinh thái Microsoft 365 mà không cần mật khẩu, không cần vượt qua MFA thêm lần nào nữa.
Đối tượng bị ảnh hưởng là bất kỳ tổ chức hay cá nhân nào sử dụng Microsoft 365. Arctic Wolf ghi nhận chiến dịch này tác động đến nhiều ngành, nhiều khu vực địa lý chỉ trong vài tuần đầu. Kali365 hiện đã mở rộng sang Okta SSO, Xerox DocuShare, và các nền tảng Nga bao gồm MAX Messenger.
Hành động ưu tiên ngay lập tức: Tạo Conditional Access Policy trong Microsoft Entra ID để chặn device code flow cho toàn bộ người dùng, trừ các trường hợp có nhu cầu nghiệp vụ hợp pháp đã được ghi nhận. Control này đơn giản nhưng loại bỏ hoàn toàn vector tấn công chính.
Bối Cảnh: Từ Công Cụ APT Đến Dịch Vụ Thuê Bao
Device code phishing không phải kỹ thuật mới trong năm 2026. Điều mới là ai đang sử dụng nó.
Tháng 2/2025, Microsoft công bố chiến dịch từ nhóm được theo dõi là Storm-2372, được đánh giá với mức độ tin cậy trung bình là có liên kết lợi ích với Nga. Nhóm này đã sử dụng device code phishing từ ít nhất tháng 8/2024, nhắm vào chính phủ, tổ chức phi chính phủ, nhà thầu quốc phòng, nhà cung cấp viễn thông và năng lượng khắp châu Âu, Bắc Mỹ, châu Phi và Trung Đông. Đồng thời, Volexity xác định thêm hai cluster liên kết Nga là UTA0304 và UTA0307 cũng dùng cùng kỹ thuật, cho thấy đây là chia sẻ kiến thức nội bộ chứ không phải phát triển song song độc lập.
Kỹ thuật này nhanh chóng rò rỉ ra ngoài vòng tròn APT. Proofpoint ghi nhận mức tăng đột biến về volume từ tháng 9/2025, và một threat actor có động cơ tài chính được theo dõi là TA2723 áp dụng phương pháp này vào tháng 10/2025. Đến tháng 2/2026, EvilTokens ra mắt công khai trên Telegram như một PhaaS đầy đủ tính năng, đánh dấu sự hàng hóa hóa hoàn toàn của kỹ thuật này. Kali365 xuất hiện tháng 4/2026 là bước leo thang tiếp theo với panel affiliate ba tầng, lures tạo bằng AI, và hỗ trợ 14 ngôn ngữ.
Trajectory 18 tháng này có ý nghĩa quan trọng cho defenders: một kỹ thuật bắt đầu từ các nhóm APT cấp nhà nước đòi hỏi kiên nhẫn và kỹ năng cao đã trở thành thứ bất kỳ ai có 250 USD/tháng và tài khoản Telegram có thể mua được. Một số kỹ thuật MFA bypass khác mất 2-3 năm để commodity hóa; device code phishing chỉ mất 18 tháng. Tốc độ đang tăng lên.
Thông Tin Chiến Dịch
| Thuộc tính | Chi tiết |
|---|---|
| Tên nền tảng | Kali365 (còn gọi là K365) |
| Loại | Phishing-as-a-Service (PhaaS) |
| Lần đầu xuất hiện | Tháng 4/2026 |
| Phân phối | Telegram |
| Giá dịch vụ | Khoảng 250 USD/tháng hoặc 2.000 USD/năm |
| Kỹ thuật cốt lõi | OAuth 2.0 Device Authorization Grant (RFC 8628) |
| Mục tiêu chính | Tài khoản Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) |
| Mục tiêu mở rộng | Okta SSO, Xerox DocuShare, LiveDrive, Mail.ru, MAX Messenger, Yandex Disk |
| Ngôn ngữ lures | 14 ngôn ngữ (Anh, Pháp, Đức, Ả-rập, Trung Quốc, Nga, Nhật, Hàn, v.v.) |
| C2 đã xác nhận | 216.203.20[.]95 và 126 malicious hosts (Arctic Wolf, tháng 6/2026) |
| Cấu trúc panel | Ba tầng: admin / agent (reseller) / client |
| Cảnh báo chính thức | FBI PSA I-052126-PSA, ngày 21/05/2026 |
Timeline Chiến Dịch
| Thời điểm | Sự kiện |
|---|---|
| Tháng 8/2024 | Storm-2372 bắt đầu sử dụng device code phishing nhắm vào chính phủ, NGO, quốc phòng |
| Tháng 2/2025 | Microsoft công bố chiến dịch Storm-2372; Volexity xác nhận thêm UTA0304 và UTA0307 |
| Tháng 9/2025 | Proofpoint ghi nhận tăng đột biến về volume; kỹ thuật lan sang threat actor tài chính |
| Tháng 10/2025 | TA2723 (động cơ tài chính) áp dụng device code phishing |
| 16/02/2026 | EvilTokens PhaaS ra mắt công khai trên Telegram, đánh dấu sự commodity hóa hoàn toàn |
| Tháng 3/2026 | Huntress ghi nhận chiến dịch "Riding the Rails" (340+ tổ chức tại 5 quốc gia) |
| Tháng 4/2026 | Kali365 lần đầu xuất hiện; Arctic Wolf phát hiện chiến dịch quy mô lớn |
| 24/04/2026 | Arctic Wolf công bố phân tích kỹ thuật "Token Bingo" về Kali365 |
| 21/05/2026 | FBI phát PSA I-052126-PSA cảnh báo về Kali365 |
| 27/05/2026 | Malwarebytes đăng phân tích kỹ thuật mở rộng |
| Tháng 6/2026 | Arctic Wolf xác nhận Kali365 mở rộng sang Okta, MAX Messenger; 126 malicious hosts được xác định |
Cơ Chế Tấn Công
Giai Đoạn 1: Xây Dựng Lure
Kẻ tấn công gọi đến Microsoft device authorization endpoint. Microsoft trả về một user_code dạng ngắn (ví dụ ABC-123456), một device_code, URL xác minh (https://microsoft.com/devicelogin) và thời hạn hiệu lực 15 phút. user_code này được nhúng vào email lừa đảo giả mạo thông báo chia sẻ tài liệu từ Adobe Acrobat Sign, DocuSign hoặc SharePoint. Nội dung email hướng dẫn nạn nhân truy cập trang xác minh Microsoft và nhập mã để xem tài liệu.
Kali365 tạo các lure bằng AI, tùy chỉnh theo ngữ cảnh doanh nghiệp, hỗ trợ 14 ngôn ngữ, giúp vượt qua phần lớn spam filter truyền thống. Email không chứa domain giả mạo nào, không có certificate bất thường, không có form nhập mật khẩu đáng ngờ. Mọi link đều trỏ đến microsoft.com hợp lệ. Các detection dựa trên URL inspection hay certificate verification không có signal nào để kích hoạt.
Giai Đoạn 2: Lừa Nạn Nhân Xác Thực
Nạn nhân truy cập https://microsoft.com/devicelogin, nhập user_code và thực hiện quy trình đăng nhập thông thường, bao gồm cả bước MFA. Toàn bộ trang là Microsoft thật: domain chính thức, certificate hợp lệ, branding của tổ chức hiển thị đúng như bình thường. Nạn nhân không nhận thấy bất kỳ dấu hiệu bất thường nào.
Điểm kỹ thuật cốt lõi: khi nạn nhân hoàn thành xác thực, họ thực chất đang ủy quyền cho thiết bị của kẻ tấn công, không phải thiết bị của chính mình. MFA được hoàn thành bởi chính nạn nhân, nhưng kết quả xác thực, tức là token, chạy về phía kẻ tấn công.
Giai Đoạn 3: Thu Thập Token và Duy Trì Truy Cập
Kali365 nhận về OAuth access token và refresh token. Access token cấp quyền truy cập trực tiếp vào Exchange Online, OneDrive, SharePoint, Teams trong khoảng 90 phút. Refresh token tồn tại đến 90 ngày và tự gia hạn mỗi khi được dùng để lấy access token mới. Điều đó có nghĩa là một lần xâm nhập thành công có thể dẫn đến truy cập dai dẳng hàng tháng mà không có thêm tương tác nào với nạn nhân.
Trong các trường hợp nâng cao, kẻ tấn công sử dụng Microsoft Authentication Broker client ID đặc biệt để lấy Primary Refresh Token (PRT). PRT cho phép đăng ký thiết bị do kẻ tấn công kiểm soát vào Microsoft Entra ID, thiết lập foothold tồn tại ngay cả khi mật khẩu bị thay đổi và refresh token thông thường bị thu hồi.
Giai Đoạn 4: Khai Thác Sau Xâm Nhập
Với valid refresh token, kẻ tấn công thực hiện Microsoft Graph API calls để đọc nội dung mailbox, tải xuống file từ OneDrive, thu thập danh bạ và lịch. Email reset mật khẩu đặc biệt được chú ý, vì chúng cho phép lateral account takeover sang các dịch vụ liên kết.
Tài khoản Outlook bị chiếm sau đó trở thành platform phát tán phishing. Email đến từ địa chỉ hợp lệ, có lịch sử giao tiếp thực tế, vượt qua các kiểm soát email vốn sẽ chặn kẻ tấn công từ bên ngoài. Mỗi tài khoản bị chiếm mở rộng thêm vùng phủ sóng của chiến dịch trong cùng tổ chức và sang toàn bộ mạng lưới liên lạc của nạn nhân.
Phân Tích Kỹ Thuật Chi Tiết
OAuth 2.0 Device Authorization Grant (RFC 8628)
OAuth device authorization flow được thiết kế cho các thiết bị có khả năng nhập liệu hạn chế như smart TV phòng họp, máy in, thiết bị IoT không có trình duyệt đầy đủ. Thay vì đăng nhập trực tiếp, người dùng nhận một mã ngắn và nhập trên thiết bị khác có trình duyệt. Kali365 thay thế vai trò "thiết bị giới hạn input" bằng cơ sở hạ tầng C2 của chính mình.
Không có gì bất thường trong bản thân flow xác thực. Microsoft authorization server hoạt động đúng theo spec. Vấn đề nằm ở context: người dùng không có signal nào cho thấy rằng họ đang xác thực cho "thiết bị" là máy chủ của kẻ tấn công, không phải thiết bị của họ.
Cơ Sở Hạ Tầng C2
Arctic Wolf xác định infrastructure ban đầu tập trung quanh địa chỉ 216.203.20[.]95. Qua pivot trên IP này, Arctic Wolf phát hiện thêm các host có chung TLS certificate, tất cả chạy cùng một cấu hình: reverse proxy trên TCP/8443, forwarding đến các phishing domain xoay vòng. Ba địa chỉ IP đầu tiên được xác định chiếm khoảng 84% sự kiện trong chiến dịch được quan sát.
Panel C2 được tổ chức theo cấu trúc ba lớp: admin tầng trên, agent ở giữa (có thể là reseller/affiliate), client ở dưới là người thuê dịch vụ thực sự. Cấu trúc này nhất quán với mô hình kinh doanh PhaaS đã được thiết lập, và khả năng cao là operator thực sự của Kali365 cách xa nhiều lớp so với từng individual attacker đang chạy campaign.
Tính đến đầu tháng 6/2026, Arctic Wolf xác định 126 malicious hosts chạy cùng cơ sở hạ tầng Kali365, giả mạo Microsoft Outlook, Okta SSO, Xerox DocuShare, LiveDrive, GMX, Mail.ru, Yandex Disk và Odnoklassniki.
AI-Generated Lures và Đa Ngôn Ngữ
Kali365 cung cấp cho subscriber khả năng tạo lures bằng AI, được tinh chỉnh theo ngữ cảnh doanh nghiệp, hỗ trợ 14 ngôn ngữ. Đây là yếu tố quan trọng giúp chiến dịch vượt qua spam filter dựa trên pattern matching và vô hiệu hóa hiệu quả của các chương trình đào tạo nhân viên tập trung vào lỗi ngữ pháp và chính tả.
Mở Rộng Sang Okta và MAX Messenger
Trong báo cáo theo dõi của Arctic Wolf, cùng operator của Kali365 mở rộng ngoài Microsoft 365. Trang giả mạo MAX Messenger (ứng dụng nhắn tin quốc gia được nhà nước Nga bảo trợ) tại domain greatness-marketing[.]top lừa nạn nhân nhập số điện thoại Nga, mã OTP thực từ MAX, và mã 2FA, tất cả chuyển về kẻ tấn công theo thời gian thực qua Telegram bot @NovosibyrskyMoneyBot. Mỗi tài khoản MAX bị chiếm trở thành node phát tán tiếp theo trong cùng contact list.
Việc nhắm vào Okta đặc biệt đáng lo ngại. Một tài khoản Okta bị chiếm thường là master key cho hàng chục ứng dụng doanh nghiệp, chứ không chỉ một suite productivity. Blast radius của mỗi tài khoản bị xâm nhập tăng lên đáng kể.
MITRE ATT&CK Mapping
| Tactic | Technique ID | Technique Name | Triển khai trong chiến dịch |
|---|---|---|---|
| Initial Access | T1566.001 | Phishing: Spearphishing Attachment | Email giả mạo Adobe Acrobat Sign, DocuSign, SharePoint kèm mã device code |
| Initial Access | T1566.002 | Phishing: Spearphishing Link | Link trỏ đến microsoft.com/devicelogin hợp lệ |
| Credential Access | T1528 | Steal Application Access Token | OAuth access token và refresh token bị thu thập qua device code flow |
| Defense Evasion | T1550.001 | Use Alternate Authentication Material: Application Access Token | Stolen token được dùng thay credential để truy cập Microsoft 365 |
| Defense Evasion | T1036 | Masquerading | Giả mạo DocuSign, SharePoint, Adobe trong lure emails |
| Persistence | T1078.004 | Valid Accounts: Cloud Accounts | Refresh token 90 ngày tự gia hạn, duy trì truy cập dai dẳng |
| Collection | T1114.002 | Email Collection: Remote Email Collection | Đọc mailbox Outlook qua Microsoft Graph API |
| Collection | T1213.002 | Data from Information Repositories: SharePoint | Truy cập file OneDrive, SharePoint |
| Discovery | T1087.003 | Account Discovery: Email Account | Thu thập danh sách liên lạc, lịch phục vụ lateral phishing |
| Lateral Movement | T1534 | Internal Spearphishing | Gửi phishing từ tài khoản bị chiếm đến đồng nghiệp, đối tác |
| Command and Control | T1102 | Web Service | C2 qua Telegram bot trong biến thể tấn công MAX Messenger |
Detection
Điểm Phát Hiện Chính: Entra ID Sign-in Logs
Signal phát hiện độ tin cậy cao nhất là authenticationProtocol=deviceCode trong Microsoft Entra ID sign-in logs. Với tổ chức không có nhu cầu nghiệp vụ hợp pháp cho device code flow (phần lớn môi trường doanh nghiệp), bất kỳ event nào có giá trị này đều là anomaly cần điều tra ngay.
Splunk SPL: Phát hiện Azure AD Device Code Authentication(Splunk ESCU, ID: d68d8732-6f7e-4ee5-a6eb-737f2b990b91)
`azure_monitor_aad` category=SignInLogs "properties.authenticationProtocol"=deviceCode
| rename properties.* as *
| rename userAgent as user_agent
| fillnull
| stats count min(_time) as firstTime max(_time) as lastTime
BY dest user src vendor_account vendor_product user_agent category
| `security_content_ctime(firstTime)`
| `security_content_ctime(lastTime)`
| `azure_ad_device_code_authentication_filter`
Splunk SPL: Phát hiện Bulk Graph API Activity sau xác thực
index=* sourcetype="azure:monitor:aad" category=NonInteractiveUserSignInLogs
| eval app_name=mvindex('properties.appDisplayName', 0)
| where app_name="Microsoft Graph"
| stats count by user, src, _time
| where count > 50
| eval risk_score=if(count>200, "HIGH", "MEDIUM")
| sort -count
KQL: Microsoft Sentinel
SigninLogs
| where AuthenticationProtocol == "deviceCode"
| project TimeGenerated, UserPrincipalName, IPAddress, Location, UserAgent, AppDisplayName
| order by TimeGenerated desc
Behavioral Signals Cần Hunt Thêm
Ngoài các detection rule kỹ thuật, một số signal hành vi đáng chú ý khi hunt:
User-Agent string python-requests/2.25.1 xuất hiện trong Entra ID sign-in logs là fingerprint của Kali365 infrastructure trong token polling traffic, theo nghiên cứu của Cloud Security Alliance. Sign-in từ VPS provider, Tor exit node, hoặc commercial VPN ngay sau một device code authentication event cần được điều tra. Microsoft Graph API calls bulk đọc mailbox (EWS hoặc Graph) trong window ngắn sau lần đăng nhập đầu tiên là strong post-compromise indicator. Đăng ký thiết bị mới vào Entra ID từ IP ngoài baseline cũng cần xử lý ưu tiên cao.
Xử Lý Khi Phát Hiện Xâm Nhập
Nếu event device code phishing được xác nhận, thu hồi refresh token thông thường chưa đủ nếu kẻ tấn công đã đăng ký thiết bị và lấy được PRT. Quy trình remediation đầy đủ bao gồm: thu hồi toàn bộ phiên hoạt động của user bị ảnh hưởng qua Entra ID, xóa thiết bị đã đăng ký không được ủy quyền, yêu cầu đăng nhập lại, kiểm tra mailbox xem có forwarding rules hay rule ẩn không, và review toàn bộ OAuth application consent grants trong tenant.
Nhận Định
Kali365 không phải chiến dịch đặc biệt về mặt kỹ thuật. Device code phishing không phải zero-day, RFC 8628 tồn tại từ năm 2019, Microsoft có tài liệu về cách chặn nó từ lâu. Điều quan trọng là sự commodity hóa, và tốc độ của quá trình đó.
18 tháng từ kỹ thuật APT nhà nước đến subscription 250 USD/tháng trên Telegram. Con số này nhanh hơn đáng kể so với các kỹ thuật MFA bypass trước đây. Khi Kali365 cùng EvilTokens và biến thể Tycoon2FA tạo thành một thị trường PhaaS cạnh tranh chuyên xây dựng để vận hành sau MFA, thì câu chuyện không còn là về một công cụ cụ thể mà là về cấu trúc của thị trường đó.
Điểm thực hành cần điều chỉnh sau bài này: phần lớn tổ chức chưa kiểm tra xem Conditional Access Policy của họ có chặn device code flow hay không. Đây là mitigation theo khuyến nghị của cả FBI lẫn Arctic Wolf, có thể triển khai trong dưới một ngày làm việc, và loại bỏ hoàn toàn attack vector chính của Kali365.
Cũng cần điều chỉnh threat model về MFA. Một người dùng vượt qua MFA thành công không đồng nghĩa họ đang đăng nhập vào hệ thống của tổ chức. Họ có thể đang ủy quyền cho một thiết bị bên ngoài. Detection phải chuyển từ giám sát "MFA failed" sang giám sát "device code flow được sử dụng ngoài baseline".
Khuyến Nghị
Ngay lập tức (0-24 giờ):
Kiểm tra trong Microsoft Entra ID xem Conditional Access Policy hiện tại có block device code flow hay không. Nếu chưa, tạo policy mới với điều kiện Authentication flow: Device code flow và action Block, với exceptions chỉ cho các business processes đã được ghi nhận. Trước khi enforce, audit existing device code flow usage để tránh chặn nhầm smart TV phòng họp, máy in hay thiết bị IoT đang dùng flow này.
Nếu đã có event đáng ngờ, thu hồi toàn bộ phiên hoạt động của tài khoản liên quan qua Entra ID Portal, yêu cầu đăng nhập lại và review danh sách thiết bị đã đăng ký trong tenant.
Block authentication transfer policies trong Entra ID để ngăn chuyển xác thực từ máy tính sang thiết bị di động, vì đây là vector liên quan mà FBI cũng khuyến nghị chặn.
Ngắn hạn (1-7 ngày):
Triển khai Splunk rule Azure AD Device Code Authentication (ESCU ID: d68d8732-6f7e-4ee5-a6eb-737f2b990b91) hoặc tương đương trên SIEM của tổ chức. Thêm alert cho bulk Graph API activity và unexpected device registration. Block C2 indicator 216[.]203[.]20[.]95 tại perimeter, với lưu ý rằng 126 additional hosts đã được xác định và infrastructure xoay vòng thường xuyên.
Cập nhật nội dung security awareness training: nhấn mạnh rằng người dùng chỉ nên nhập device code khi chính họ đã khởi tạo đăng nhập từ thiết bị của mình, không phải khi được yêu cầu bởi email hay link từ bên ngoài.
Dài hạn:
Lập catalog đầy đủ các thiết bị trong môi trường đang sử dụng device code flow hợp pháp. Nhiều tổ chức không nhận ra conference room AV system hay legacy IoT device của mình đang dùng flow này, và chúng tạo ra legitimate exceptions làm phức tạp policy enforcement.
Bật Continuous Access Evaluation (CAE) trong Entra ID để rút ngắn effective lifetime của access token, giảm cửa sổ thời gian kẻ tấn công có thể khai thác. Tích hợp kiểm tra OAuth application consent grants vào SIEM review cycle định kỳ.
Indicators of Compromise
# IP Address (defanged)
216[.]203[.]20[.]95 # Kali365 C2 infrastructure, xác nhận bởi Arctic Wolf (04/2026)
# Domain (defanged)
greatness-marketing[.]top # Trang giả mạo MAX Messenger / prize claim page (06/2026)
# Telegram C2
@NovosibyrskyMoneyBot # Telegram bot dùng để nhận credential theo thời gian thực (biến thể MAX)
# User-Agent (network indicator)
python-requests/2.25.1 # Fingerprint token polling traffic của Kali365 (theo CSA research)
# Behavioral IOC
authenticationProtocol=deviceCode trong Entra ID SignInLogs từ user hoặc IP ngoài baseline
Microsoft Graph bulk mailbox access (>50 API calls/phút) qua non-interactive session
Đăng ký thiết bị mới vào Entra ID từ IP ngoài baseline sau authentication event
Sign-in từ VPS/Tor/commercial VPN ngay sau device code authentication
Lưu ý: Arctic Wolf xác định 126 malicious hosts tính đến đầu tháng 6/2026, nhưng danh sách đầy đủ chưa được công bố tại thời điểm viết bài. Tham khảo Arctic Wolf threat intelligence feed để cập nhật host list.
Nguồn tham khảo:
Kali365 phishing kit bypasses MFA and steals Microsoft logins — Malwarebytes / Pieter Arntz
Kali365 Phishing-as-a-Service Kit Hijacks Microsoft 365 Access Tokens — FBI Internet Crime Complaint Center (IC3)
Token Bingo: Don't Let Your Code be the Winner — Arctic Wolf Labs
From Token Bingo to MAX Takeover: Kali365 Operator Expands Operation — Arctic Wolf Labs
Storm-2372 conducts device code phishing campaign — Microsoft Security Blog
OAuth Device Code Phishing Hits 340+ Microsoft 365 Organizations — Cloud Security Alliance Labs
Detection: Azure AD Device Code Authentication — Splunk Security Research
FBI warns of Kali365 as device code phishing soars — The Register
