Как использовать деловой этикет для компрометации корпоративных аккаунтов.
Специалисты , что группировка Storm-2372 ведёт масштабную фишинговую кампанию, направленную на взлом учетных записей Microsoft 365.
Атаки ориентированы на госорганизации, НПО, IT-компании, оборонные предприятия, телекоммуникационные и энергетические секторы, а также сферу здравоохранения в Европе, Северной Америке, Африке и на Ближнем Востоке. Главной особенностью кампании является использование техники фишинга с кодами устройств, что позволяет злоумышленникам обходить традиционные методы аутентификации.
Хакеры используют тактику социальной инженерии, выдавая себя за влиятельных лиц, чтобы установить доверительный контакт с жертвой через WhatsApp, Signal или Microsoft Teams. Злоумышленник отправляет жертве поддельное приглашение на онлайн-встречу с заранее сгенерированным кодом для входа. Затем жертва вводит код на официальной странице авторизации Microsoft, а киберпреступники получают действительный токен доступа.
В результате атакующие получают доступ к учетным записям Microsoft 365 без необходимости ввода пароля. Это позволяет извлекать электронные письма, файлы из облака и другие корпоративные данные, пока украденные токены остаются действительными.
Группа Storm-2372 также задействует Microsoft Graph API, проводя поиск по компрометированным почтовым ящикам с использованием ключевых слов: «пароль», «администратор», «TeamViewer», «AnyDesk», «учетные данные», «секрет», «министерство», «gov». После выявления важных сообщений происходит их массовая эксфильтрация.
Microsoft также зафиксировала новую фазу атаки: злоумышленники начали использовать идентификатор клиента Microsoft Authentication Broker, что позволяет генерировать новые токены доступа. Это открывает возможности для устойчивого присутствия и дальнейших действий в сети, включая регистрацию новых устройств в Entra ID.
Microsoft рекомендует организациям предпринять следующие меры для предотвращения компрометации:
Кроме того, пользователям рекомендуется быть внимательными к входам на незнакомых устройствах и избегать ввода кодов аутентификации вне официальных каналов. Microsoft продолжает мониторинг деятельности Storm-2372 и уведомляет организации о возможных компрометациях.
Специалисты Microsoft подчеркивают, что фишинг с использованием кодов устройств — новая , которая требует более строгого контроля доступа и постоянного мониторинга аутентификационных событий в корпоративных сетях.
Подробнее:
Специалисты , что группировка Storm-2372 ведёт масштабную фишинговую кампанию, направленную на взлом учетных записей Microsoft 365.
Атаки ориентированы на госорганизации, НПО, IT-компании, оборонные предприятия, телекоммуникационные и энергетические секторы, а также сферу здравоохранения в Европе, Северной Америке, Африке и на Ближнем Востоке. Главной особенностью кампании является использование техники фишинга с кодами устройств, что позволяет злоумышленникам обходить традиционные методы аутентификации.
Хакеры используют тактику социальной инженерии, выдавая себя за влиятельных лиц, чтобы установить доверительный контакт с жертвой через WhatsApp, Signal или Microsoft Teams. Злоумышленник отправляет жертве поддельное приглашение на онлайн-встречу с заранее сгенерированным кодом для входа. Затем жертва вводит код на официальной странице авторизации Microsoft, а киберпреступники получают действительный токен доступа.
Злоумышленники связываются с жертвой в мессенджере (Microsoft)
В результате атакующие получают доступ к учетным записям Microsoft 365 без необходимости ввода пароля. Это позволяет извлекать электронные письма, файлы из облака и другие корпоративные данные, пока украденные токены остаются действительными.
Группа Storm-2372 также задействует Microsoft Graph API, проводя поиск по компрометированным почтовым ящикам с использованием ключевых слов: «пароль», «администратор», «TeamViewer», «AnyDesk», «учетные данные», «секрет», «министерство», «gov». После выявления важных сообщений происходит их массовая эксфильтрация.
Microsoft также зафиксировала новую фазу атаки: злоумышленники начали использовать идентификатор клиента Microsoft Authentication Broker, что позволяет генерировать новые токены доступа. Это открывает возможности для устойчивого присутствия и дальнейших действий в сети, включая регистрацию новых устройств в Entra ID.
Цепочка атаки Storm-2372 (Microsoft)
Microsoft рекомендует организациям предпринять следующие меры для предотвращения компрометации:
- Отключить аутентификацию по коду устройства, если это возможно.
- Использовать политики Conditional Access в Entra ID, чтобы ограничить доступ только доверенным устройствам или сетям.
- Немедленно отозвать украденные токены, если есть подозрение на фишинговую атаку, используя команду revokeSignInSessions.
- Ввести дополнительные требования к повторной аутентификации для подозрительных пользователей.
- Мониторить аномальную активность в Entra ID, обращая внимание на всплески попыток входа, логины с неизвестных IP-адресов и неожиданные запросы кода устройства.
Кроме того, пользователям рекомендуется быть внимательными к входам на незнакомых устройствах и избегать ввода кодов аутентификации вне официальных каналов. Microsoft продолжает мониторинг деятельности Storm-2372 и уведомляет организации о возможных компрометациях.
Специалисты Microsoft подчеркивают, что фишинг с использованием кодов устройств — новая , которая требует более строгого контроля доступа и постоянного мониторинга аутентификационных событий в корпоративных сетях.
Подробнее:
