今天小編分享的互聯網經驗:微軟:黑客在設備代碼釣魚攻擊中竊取電子郵件,歡迎閱讀。
據安全研究員觀察發現,一個可能與俄羅斯有關聯的威脅者發起的活躍攻擊活動,正利用設備代碼釣魚手段針對個人微軟 365 賬戶進行攻擊。
這些攻擊目标涉及歐洲、北美、非洲和中東地區的政府、非政府組織、信息技術服務和科技、國防、電信、醫療以及能源 / 石油和天然氣行業。
微軟威脅情報中心将此次設備代碼釣魚活動背後的威脅者追蹤為 " 風暴 -237"。基于受害者特征和作案手法,研究人員認為,該活動與符合俄羅斯利益的國家行為有關。
設備代碼釣魚攻擊
輸入受限設備——那些缺少鍵盤或浏覽器支持的設備,比如智能電視和某些物聯網設備,依靠代碼認證流程讓用戶通過在另一台設備(如智能手機或電腦)上輸入授權碼來登錄應用程式。
微軟研究人員發現,自去年 8 月以來,Storm-2372 通過誘騙用戶在合法的登錄頁面輸入攻擊者生成的設備代碼,濫用這種身份驗證流程。
這些特工人員首先通過在 WhatsApp、Signal 和 Microsoft Teams 等消息平台上 " 冒充與目标有關的知名人士 " 與目标建立聯系,然後才發起攻擊。
Storm-2372 發送到目标的消息
威脅者會在通過電子郵件或短信發送虛假的在線會議邀請之前,與受害者逐漸建立起一種融洽的關系。根據研究人員的說法,受害者收到一個團隊會議邀請,其中包括攻擊者生成的設備代碼。
微軟表示:" 這些邀請會引誘用戶完成設備代碼認證請求,模拟消息傳遞服務,這為 Storm-2372 提供了對受害者賬戶的初始訪問權限,并啟用了 Graph API 數據收集活動,如電子郵件收集。"
只要被盜的令牌有效,黑客就可以在不需要密碼的情況下訪問受害者的微軟服務(電子郵件、雲存儲)。
設備代碼網絡釣魚攻擊概述
然而,微軟表示,攻擊者現在正在設備代碼登錄流中使用 Microsoft Authentication Broker 的特定客戶端 ID,這允許他們生成新的令牌。
這開啟了新的攻擊和持久化可能性,因為攻擊者可以使用客戶端 ID 将設備注冊到微軟基于雲的身份和訪問管理解決方案 Entra ID。
使用相同的刷新令牌和新的設備标識,Storm-2372 能夠獲得主刷新令牌(PRT)并訪問其資源。目前已經觀察到 Storm-2372 使用連接的設備收集電子郵件。
防御風暴 2372
為了對抗 Storm-2372 使用的設備代碼釣魚攻擊,微軟建議在可能的情況下阻止設備代碼流,并在微軟 Entra ID 中執行條件訪問策略,以限制其對可信設備或網絡的使用。
如果懷疑設備代碼網絡釣魚,立即使用‘ revokeSignInSessions ’撤銷用戶的刷新令牌,并設定條件訪問策略來強制受影響的用戶重新認證。
最後,使用 Microsoft Entra ID 的登錄日志來監視并快速識别短時間内大量的身份驗證嘗試、來自無法識别的 ip 的設備代碼登錄,以及發送給多個用戶的設備代碼身份驗證的意外提示。
