Pencuri Digital, mungkin yang ditautkan buruk dengan Kremlin, telah mengirim email ke tim Microsoft palsu yang memenuhi undangan kepada para korban menipu di sektor -sektor pemerintah dan bisnis utama untuk mengirimkan token otentikasi mereka, memberikan akses ke email, data cloud, dan data cloud dan informasi rahasia lainnya.
Menurut Microsoft minggu ini, pekerjaan penipuan ini telah berlangsung sejak Agustus dan dikaitkan dengan kelompok yang melacak Storm-2372, banyak penjahat “yang bekerja menuju kepentingan negara Rusia.”
Kru lain yang diatur di Kremlin, termasuk Beruang yang nyaman AKA Midnight Blizzard, juga telah menggunakan obrolan peralatan untuk merek Phish di sektor -sektor bernilai tinggi yang serupa, raksasa Windows telah memperingatkan di masa lalu.
Dalam pengeboman phishing terbaru ini, Storm-2372 ditujukan untuk pemerintah, organisasi non-pemerintah, layanan TI dan teknologi, telekomunikasi, kesehatan, pendidikan tinggi dan energi/minyak dan gas di Eropa, Amerika Utara, Afrika dan Timur Tengah , Redmond pepatah.
Kampanye menggunakan teknik yang disebut “phishing kode perangkat” yang mencoba menipu merek untuk memberikan semua detail yang diperlukan untuk memberikan akses penjahat ke akun korban: nama pengguna, kata sandi, kode otentikasi dari perangkat yang diminta Microsoft oleh penyerang dan MFA dari Pengguna. jawaban. Di bawah ini adalah diagram Redmond yang menggambarkan aliran serangan ini.
Kode serangan phishing dari kode perangkat Storm-2372 … klik untuk memperluas. Sumber: Microsoft
Mereka memberi tahu kami bahwa Storm-2372 pertama kali membangun hubungan dalam aplikasi pesan seperti WhatsApp, Signal dan Microsoft dalam tim “secara keliru bersujud sebagai orang yang relevan yang menonjol untuk tujuan tersebut.” Setelah mendapatkan kepercayaan korban, para penyerang mengirim email phishing dengan undangan pertemuan peralatan Microsoft yang dipalsukan, menurut para peneliti.
Ketika penerima mengklik undangan pertemuan, halaman login Microsoft dibawa ke halaman yang sah dan diminta untuk memasukkan kode verifikasi perangkat yang sebelumnya diminta Storm-2372 dari raksasa Windows. Setelah korban memasukkan kode perangkat dan otentik dengan Microsoft, penyerang dapat memperoleh token akses yang valid dari raksasa TI, yang dapat digunakan untuk memasukkan akun email atau penyimpanan cloud korban tanpa perlu kata sandi atau MFA, jadi Waktu yang sebagai chip tetap aktif.
Hal utama di sini adalah bahwa geng meminta kode perangkat Microsoft, kemudian menipu korban untuk otentik dengan kode itu untuk menghasilkan token akses untuk penyerang, mengambil langkah ke akun korban.
“Aktor ancaman menggunakan sesi yang valid ini untuk bergerak secara lateral ke dalam jaringan yang baru dikompromikan dengan mengirim pesan phishing tambahan yang berisi tautan untuk otentikasi kode perangkat ke pengguna lain melalui email elektronik intra -organisasi yang berasal dari akun korban” kata Redmond Intel Redmond Intel Tim Ancaman.
Raksasa teknologi ini juga berpendapat bahwa teknik sebelumnya “tidak mencerminkan serangan Microsoft eksklusif atau telah menemukan kerentanan dalam basis kode kami yang memungkinkan aktivitas ini.”
Mereka juga memberi tahu kami bahwa Microsoft menangkap dugaan mata -mata Rusia yang menggunakan grafik Microsoft untuk terlihat.
Microsoft Graph adalah API yang menyediakan akses ke data yang disimpan dalam layanan Microsoft 365, dan Snoops menggunakan alat ini untuk mengekspresikan konten email yang cocok dengan istilah pencarian ini untuk mengumpulkan kredensial dan data rahasia lainnya.
Sementara raksasa teknologi mengatakan bahwa mereka terus memantau hal ini dan kampanye lain yang dikaitkan dengan Storm-2372, dan secara langsung memberi tahu pelanggan yang telah diserang atau dilakukan, ada beberapa langkah yang dapat diambil orang untuk melindungi diri mereka secara preventif terhadap ancaman ini dan serupa.
Pertama, hanya izinkan Aliran Kode Perangkat Dimana mutlak diperlukan. Selain itu, jika Anda mencurigai kode perangkat phishing, Mencabut Token Perbarui Pengguna dan juga mempertimbangkan untuk menetapkan kebijakan akses bersyarat untuk Kekuatan Re -Authentication Untuk pengguna.
Akhirnya, dalam pembaruan pada hari Jumat, Microsoft mengatakan bahwa “mengamati perubahan Storm-2372 dengan penggunaan ID klien spesifik untuk koridor otentikasi Microsoft dalam login login kode perangkat”, dan termasuk dalam penulisan yang sebelumnya ditautkan sebelumnya Detail tentang itu. ®
