Microsoft richiama l’attenzione su un cluster di minacce emergenti che chiama Storm-2372 Ciò è stato attribuito a una nuova serie di attacchi informatici rivolti a una varietà di settori dall’agosto 2024.
Gli attacchi hanno preso di mira il governo, le organizzazioni non governative (ONG), i servizi e la tecnologia IT) e la tecnologia, la difesa, le telecomunicazioni, la salute, l’istruzione superiore e i settori dell’energia/petrolio e gasoline in Europa, Nord America, Africa e Medio Est.
L’attore di minaccia, valutato con media fiducia per essere allineato con gli interessi russi, la vittima e il tradecraft, è stato osservato di prendere di mira gli utenti tramite app di messaggistica come WhatsApp, Sign e Microsoft Groups sostenendo falsamente di essere una persona di spicco rilevante per il bersaglio in un obiettivo in un obiettivo in un obiettivo in un obiettivo in un obiettivo in un obiettivo in un obiettivo nell’obiettivo di un bersaglio in un obiettivo nell’obiettivo di un obiettivo in un obiettivo. tentare di creare fiducia.
“Gli attacchi utilizzano una tecnica di phishing specifica chiamata” Phishing del codice dispositivo “che induce gli utenti advert accedere alle app di produttività mentre gli attori di Storm-2372 acquisiscono le informazioni dall’accesso (token) che possono utilizzare per accedere agli account compromessi”, Microsoft Intelligenza delle minacce disse in un nuovo rapporto.
L’obiettivo è quello di sfruttare i codici di autenticazione ottenuti tramite la tecnica per accedere agli account di destinazione e abusare che l’accesso per ottenere dati sensibili e consentire l’accesso persistente all’ambiente delle vittime fintanto che i token rimangono validi.
Il gigante della tecnologia ha affermato che l’attacco prevede l’invio di e-mail di phishing che si mascherano come workforce Microsoft che incontrano inviti che, se cliccati, sollecitano i destinatari di messaggi advert autenticarsi utilizzando un codice dispositivo generato da attori di minaccia, consentendo così all’avversario di dirottare la sessione autenticata utilizzando l’accesso valido utilizzando l’accesso valido gettone.
“Durante l’attacco, l’attore delle minacce genera una legittima richiesta di codice del dispositivo e inganna l’obiettivo di inserirlo in una pagina di accesso legittima”, ha spiegato Microsoft. “Ciò garantisce l’accesso all’attore e consente loro di catturare l’autenticazione – accesso e aggiornamento – i token che vengono generati, quindi utilizzare quei token per accedere agli account e ai dati del goal.”
I token di autenticazione phishing possono quindi essere utilizzati per ottenere l’accesso advert altri servizi a cui l’utente ha già autorizzazioni, come e -mail o archiviazione cloud, senza la necessità di una password.
Microsoft ha affermato che la sessione valida viene utilizzata per spostarsi lateralmente all’interno della rete inviando messaggi intra-organizzativi di phishing simili advert altri utenti dall’account compromesso. Inoltre, il servizio grafico Microsoft viene utilizzato per cercare i messaggi dell’account violato.
“L’attore di minaccia stava utilizzando la ricerca di parole chiave per visualizzare messaggi contenenti parole come nome utente, password, amministratore, teamviewer, qualsiasidesk, credenziali, segreto, ministero e Gov”, ha detto Redmond, aggiungendo le e -mail che corrispondono a questi criteri di filtro sono stati quindi esfiltrati Attore di minaccia.
Per mitigare il rischio rappresentato da tali attacchi, si raccomanda le organizzazioni Blocca il flusso del codice del dispositivo Ove possibile, abilitare l’autenticazione multi-fattore resistente al phishing (MFA) e seguire il principio del minimo privilegio.
Aggiornamento
In un aggiornamento condiviso il 14 febbraio 2025, Microsoft ha dichiarato di “aver osservato Storm-2372 spostandosi nell’utilizzo dell’ID consumer specifico per il dealer di autenticazione Microsoft nel flusso di accesso del codice del dispositivo”.
Utilizzando l’ID consumer, ha aggiunto, consente agli aggressori di ricevere un token di aggiornamento che può essere utilizzato per richiedere un altro token per il servizio di registrazione del dispositivo, quindi registrare un dispositivo controllato da attori all’interno dell’ID ENTRA. Il dispositivo collegato viene quindi utilizzato per raccogliere le e -mail.
“Con lo stesso token di aggiornamento e la nuova identità del dispositivo, Storm-2372 è in grado di ottenere un token di aggiornamento primario (PRT) e accedere alle risorse di un’organizzazione”, ha affermato Microsoft. “È stato anche osservato che l’attore utilizza proxy appropriati a livello regionale per gli obiettivi, probabilmente nel tentativo di nascondere ulteriormente il segno sospetto in attività.”
La società di sicurezza informatica Volexity ha dichiarato di aver osservato almeno tre diversi attori delle minacce russe che conducono campagne di phishing delle lance utilizzando l’approccio del codice del dispositivo per compromettere gli account Microsoft 365 da metà gennaio 2025.
Alcune e -mail sono state identificate come inviate da conti che impersonano le persone del Dipartimento di Stato degli Stati Uniti, il Ministero della Difesa ucraino, il Parlamento dell’Unione Europea e altre importanti istituti di ricerca.
Si sospetta che uno dei cluster dietro l’attività sia Apt29che è anche noto come Bluebravo, Cloaked Ursa, Coziylarch, Cozy Bear, Midnight Blizzard (precedentemente Nobelium) e Dukes. Agli altri due gruppi sono stati assegnati ai moniker UTA0304 e UTA0307.
In un caso analizzato da Volexity, UTA0304 si è avvicinato per la prima volta a una vittima su segnale mascherato da funzionario del Ministero della Difesa ucraino, quindi li ha persuasi a spostare la conversazione in un’altra domanda di chat sicura chiamata Ingredient.
L’attaccante ha proceduto a inviare loro un’e-mail di phishing delle lance, affermando che dovevano fare clic su un hyperlink fornito nel messaggio per unirsi a una chat room. Facendo clic sul collegamento reindirizzato la vittima in una pagina Microsoft che richiede un codice del dispositivo per “consentire l’accesso”.
“Il messaggio period uno stratagemma per ingannare l’utente nel pensare di essere stato invitato in una chiacchierata sicura, quando in realtà stavano dando l’attaccante l’accesso al loro account”, Charlie Gardner, Steven Adair e Tom Lancaster di Volexity ” disse in un’analisi.
“I codici dei dispositivi generati sono validi solo per 15 minuti una volta creati. Di conseguenza, la comunicazione in tempo reale con la vittima e facendoli aspettarsi che l’invito”, serviva a garantire che il phish abbia successo attraverso il coordinamento tempestivo.
Si cube che Coziylarch e UTA0307 abbiano adottato una strategia simile, esortando le vittime a unirsi a una riunione di Microsoft Groups per ottenere un accesso non autorizzato all’account Microsoft 365, seguito da documenti di interesse esfiltranti.
“Va notato che è possibile che questo sia il lavoro di un singolo attore di minaccia che gestisce various campagne various”, hanno detto i ricercatori, aggiungendo che vengono monitorati separatamente a causa delle differenze nei componenti osservati.
“Sembra che questi attori delle minacce russe abbiano fatto uno sforzo concertato per lanciare various campagne contro le organizzazioni con l’obiettivo di abusare simultaneamente questo metodo prima che gli obiettivi prendano e implementano contromisure.”
