Свързана с Русия заплаха, проследена като Storm-2372, е насочена към правителствени и частни организации в глобална кампания, използваща фишинг на кодове на устройства за компрометиране на акаунти, съобщава Microsoft.
Кампанията продължава поне от август 2024 г., като е насочена към организации от правителствения, ИТ, отбранителния, телекомуникационния, здравния, образователния и енергийния сектор, както и към неправителствени организации в Африка, Европа, Близкия изток и Северна Америка.
Разчитайки на цифров или буквено-цифров код, потокът за удостоверяване с код на устройство се използва за удостоверяване на акаунт от устройство, което не може да извърши интерактивно удостоверяване.
Като част от фишинг атака с код на устройство, заплахата иска от целевата услуга да генерира код на устройство и убеждава жертвата да въведе този код на легитимна страница за влизане в системата. След това целевата услуга генерира токен за достъп, който нападателят може да възстанови и да използва за достъп до акаунтите и данните на целта.
Участникът в заплахата може да използва токените за достъп до електронна поща и услуги за съхранение в облак, за които жертвата има права, без парола, както и да се придвижва странично.
„Тази техника може да даде възможност за постоянен достъп, докато токените са валидни, което прави тази техника за атака привлекателна за заплахите“, отбелязва Microsoft.
Като част от наблюдаваните атаки Storm-2372, описан от Microsoft като спонсориран от руската държава колектив, е изготвил фишинг имейли, съдържащи фалшиви покани за срещи в Microsoft Teams, предназначени да откраднат удостоверените сесии на жертвите, като ги убедят да изпълнят заявки за удостоверяване на кода на устройството.
„Storm-2372 вероятно се е насочил към потенциални жертви, използвайки услуги за съобщения на трети страни, включително WhatsApp, Signal и Microsoft Teams, като се е представял фалшиво за виден човек, свързан с целта, за да развие връзка, преди да изпрати последващи покани за онлайн събития или срещи чрез фишинг имейли“, отбелязва Microsoft.
След като успешно получи токен за удостоверяване, заплахата получава достъп до акаунта на жертвата и го използва за изпращане на допълнителни фишинг съобщения с код на устройство до други потребители в организацията, казва Microsoft.
Storm-2372 също така е видян да използва Microsoft Graph, за да търси във входящите пощенски кутии на жертвите съобщения, „съдържащи думи като username, password, admin, teamviewer, anydesk, credentials, secret, ministry и gov“, и да ексфилтрира всички имейли, намерени в тези търсения.
От 13 февруари заплахата преминава към използване на специфичния клиентски идентификатор за Microsoft Authentication Broker в потока за удостоверяване на кода на устройството, което им дава възможност да получат токeн за опресняване, който могат да използват, за да получат друг токeн за регистрация на собствените си устройства с Entra ID.
„Със същия токен за опресняване и новата идентичност на устройството Storm-2372 е в състояние да получи първичен токен за опресняване (PRT) и да получи достъп до ресурсите на организацията. Наблюдавахме как Storm-2372 използва свързаното устройство за събиране на имейли. Наблюдавано е също така, че участникът използва прокси сървъри, които са регионално подходящи за целите, вероятно в опит за допълнително прикриване на подозрителната дейност по вписване“, отбелязва Microsoft.
Според фирмата за киберсигурност Volexity от януари 2025 г. насам техниката за фишинг с код на устройство е била използвана при атаки, насочени към Държавния департамент на САЩ, украинското министерство на отбраната, парламента на Европейския съюз и различни изследователски институции.
Volexity идентифицира още трима свързани с Русия участници в заплахите, използващи техниката, а именно CozyLarch (проследяван също като APT29, Cozy Bear и Midnight Blizzard), UTA0304 и UTA0307, но заявява, че е възможно за атаките да е отговорен един-единствен участник в заплахите.
