Microsoft сообщила о кибератаках, организованных группой Storm-2372, которая, по оценкам, работает в интересах России. Атаки продолжаются с августа 2024 года и нацелены на правительства, НПО и широкий спектр отраслей в различных регионах мира. Группа использует фишинг-технику, называемую "фишинг с использованием кода устройства", с помощью которой злоумышленники заставляют пользователей входить в продуктивные приложения, в то время как они перехватывают данные входа (токены) для последующего получения доступа к компрометированным учетным записям.
Метод фишинга, используемый Storm-2372, маскируется под приглашения на встречи в Microsoft Teams, отправляемые по электронной почте. Когда пользователи нажимают на приглашение, они должны ввести код устройства, сгенерированный злоумышленниками, что дает им доступ к токену для аутентификации. Эти токены могут использоваться для дальнейшего доступа к учетным записям, а также для сбора данных и других сервисов, к которым имеет доступ учетная запись.
Источник
Метод фишинга, используемый Storm-2372, маскируется под приглашения на встречи в Microsoft Teams, отправляемые по электронной почте. Когда пользователи нажимают на приглашение, они должны ввести код устройства, сгенерированный злоумышленниками, что дает им доступ к токену для аутентификации. Эти токены могут использоваться для дальнейшего доступа к учетным записям, а также для сбора данных и других сервисов, к которым имеет доступ учетная запись.
Детали атаки:
- Атака начинается с создания фальшивых приглашений через третьи сервисы обмена сообщениями, такие как WhatsApp, Signal или Microsoft Teams, где злоумышленники маскируются под знакомую для жертвы личность.
- В процессе аутентификации через код устройства, жертва вводит полученный код на фальшивой странице, после чего злоумышленники получают действительный токен доступа.
- Эти токены используются для доступа к данным и сервісам, включая поиск электронных писем с помощью Microsoft Graph, а также для выполнения последующих фишинговых атак внутри организации.
Обновление от 14 февраля 2025 года:
Microsoft обнаружила, что группа Storm-2372 начала использовать специфический идентификатор клиента для Microsoft Authentication Broker, что позволяет ей получить дополнительный токен для регистрации устройства в Microsoft Entra ID. Этот шаг дает злоумышленникам возможность получить основной токен обновления (PRT) и доступ к ресурсам организации.Рекомендации по защите:
- Ограничьте использование потока аутентификации с кодом устройства только там, где это необходимо.
- Обучайте пользователей распознавать фишинговые атаки и подтверждать приложения при аутентификации.
- Используйте многофакторную аутентификацию (MFA) и исключите устаревшие методы аутентификации.
- Настройте политики условного доступа, чтобы ограничить возможности регистрации устройств в вашей среде Entra ID.
Источник
