Дослідники Microsoft Threat Intelligence Center виявили тривалу кампанію російських урядових хакерів, які використовують складну фішингову техніку для викрадення облікових записів Microsoft 365.
Дослідники Microsoft Threat Intelligence Center виявили тривалу кампанію російських урядових хакерів, які використовують складну фішингову техніку для викрадення облікових записів Microsoft 365.
«Microsoft Threat Intelligence Center виявив активну й успішну кампанію фішингу кодів пристроїв, яку проводили зловмисники, відомі як Storm-2372. Наше розслідування показує, що ця кампанія була активною з серпня 2024 року, коли зловмисник створював приманки, що нагадують програми для обміну повідомленнями, зокрема WhatsApp, Signal і Microsoft Teams», — йдеться в повідомленні дослідників.
За їх словами, цілями Storm-2372 були урядові й неурядові організації, служби та IT-технології, оборона, телекомунікації, охорона здоров’я, вища освіта та енергетика/нафтогазовий сектор у Європі, Північній Америці, Африці та на Близькому Сході. Microsoft оцінює «з середнім ступенем впевненості», що Storm-2372 відповідає російським інтересам, віктимології та технологіям.
Хакери застосовували фішинг із використанням коду пристрою, пише Ars Technica. Він експлуатує device code flow — форму автентифікації, формалізовану в галузевому стандарті OAuth. Аутентифікація за допомогою потоку кодів пристроїв призначена для реєстрації принтерів, смарттелевізорів та інших подібних пристроїв в акаунтах. Ці пристрої зазвичай не підтримують браузери, що ускладнює вхід за допомогою більш стандартних форм автентифікації, таких як введення імен користувачів, паролів і двофакторних механізмів.
Замість того, щоб автентифікувати користувача безпосередньо, пристрій з обмеженням введення відображає буквений або буквено-цифровий код пристрою разом з посиланням, пов’язаним з обліковим записом користувача. Користувач відкриває посилання на комп’ютері або іншому пристрої, за допомогою якого легше увійти в систему, і вводить код. Потім віддалений сервер надсилає токен на пристрій з обмеженим доступом, який реєструє його в обліковому записі.
Авторизація пристрою відбувається двома шляхами: один з них — від програми або коду, запущеного на пристрої з обмеженим доступом, який запитує дозвіл на вхід, а інший — від браузера пристрою, який користувач зазвичай використовує для входу в обліковий запис.
У рекомендаціях як компанії Volexity, так і Microsoft попереджають, що суб'єкти загроз, які працюють від імені російського уряду, зловживають цим потоком щонайменше з серпня минулого року, щоб заволодіти обліковими записами Microsoft 365. Зловмисники маскуються під довірених високопосадовців та ініціюють розмови з цільовими користувачами в месенджерах, таких як Signal, WhatsApp і Microsoft Teams.
Серед організацій, за які себе видають, є:
Після встановлення контакту зловмисники просять користувача приєднатися до наради Microsoft Teams, надати доступ до програм і даних як зовнішній користувач Microsoft 365 або приєднатися до чату в захищеному додатку. Запит містить посилання та код доступу, який зловмисник згенерував за допомогою підконтрольного йому пристрою.
Коли жертва переходить за посиланням за допомогою браузера, авторизованого для доступу до облікового запису Microsoft 365, і вводить код, пристрій зловмисника отримує доступ, який діятиме доти, доки залишатимуться дійсними маркери автентифікації.
Ефективність атак значною мірою є результатом неоднозначності користувацького інтерфейсу процесу авторизації коду пристрою. Це означає, що людям важливо звертати пильну увагу на посилання та сторінки, на які вони ведуть.
