Microsoft 正在提请注意一个名为 Storm-2372 的新兴威胁集群,该集群被归因于自 2024 年 8 月以来针对各个行业的一组新网络攻击。
这些攻击针对欧洲、北美、非洲和中东的政府、非政府组织 (NGO)、信息技术 (IT) 服务和技术、国防、电信、卫生、高等教育以及能源/石油和天然气部门。
据观察,威胁行为者被评估为与俄罗斯的利益、受害者和贸易技巧保持一致,通过 WhatsApp、Signal 和 Microsoft Teams 等消息传递应用程序以用户为目标,谎称自己是与目标相关的知名人士,以试图建立信任。
“这些攻击使用一种称为'设备代码网络钓鱼'的特定网络钓鱼技术,诱骗用户登录生产力应用程序,而 Storm-2372 攻击者从登录(令牌)中捕获信息,然后他们可以使用这些信息访问受感染的帐户,”Microsoft 威胁情报在一份新报告中说。
目标是利用通过该技术获得的身份验证代码来访问目标账户,并滥用该访问权限来获取敏感数据,并在令牌保持有效的情况下启用对受害者环境的持久访问。
这家科技巨头表示,这次攻击涉及发送伪装成 Microsoft Teams 会议邀请的网络钓鱼电子邮件,点击这些邀请后,会敦促消息收件人使用威胁行为者生成的设备代码进行身份验证,从而允许对手使用有效的访问令牌劫持经过身份验证的会话。
“在攻击过程中,威胁行为者生成一个合法的设备代码请求,并诱骗目标将其输入到合法的登录页面,”Microsoft 解释说。“这授予参与者访问权限,并使他们能够捕获生成的身份验证 - 访问和刷新 - 令牌,然后使用这些令牌访问目标的账户和数据。”
然后,可以使用网络钓鱼身份验证令牌来访问用户已经有权访问的其他服务,例如电子邮件或云存储,而无需密码。
Microsoft 表示,有效会话用于通过从受感染帐户向其他用户发送类似的网络钓鱼组织内部消息,在网络内横向移动。此外,Microsoft Graph 服务用于搜索被泄露帐户的消息。
“威胁行为者使用关键字搜索来查看包含用户名、密码、管理员、teamviewer、anydesk、credentials、secret、ministry 和 gov 等词语的消息,”雷德蒙德说,并补充说符合这些过滤条件的电子邮件随后被泄露给威胁行为者。
为了降低此类攻击带来的风险,建议组织尽可能阻止设备代码流,启用防网络钓鱼的多重身份验证 (MFA),并遵循最小权限原则。
更新
在 2025 年 2 月 14 日分享的更新中,Microsoft 表示“观察到 Storm-2372 在设备代码登录流程中转向使用 Microsoft 身份验证代理的特定客户端 ID”。
它补充说,使用客户端 ID 使攻击者能够接收刷新令牌,该令牌可用于为设备注册服务请求另一个令牌,然后在 Entra ID 中注册参与者控制的设备。然后使用连接的设备来收集电子邮件。
“使用相同的刷新令牌和新的设备身份,Storm-2372 能够获得主刷新令牌 (PRT) 并访问组织的资源,”Microsoft 表示。“还观察到该行为者使用适合目标的区域代理,可能是为了进一步隐藏可疑的登录活动。”
网络安全公司 Volexity 表示,自 2025 年 1 月中旬以来,它观察到至少三个不同的俄罗斯威胁行为者使用设备代码方法进行鱼叉式网络钓鱼活动,以破坏 Microsoft 365 帐户。
一些电子邮件已被确定为来自冒充美国国务院、乌克兰国防部、欧盟议会和其他著名研究机构的个人的帐户。
该活动背后的集群之一疑似是 APT29,它也被称为 BlueBravo、Cloaked Ursa、CozyLarch、Cozy Bear、Midnight Blizzard(前身为 Nobelium)和 The Dukes。其他两个组已被分配了名字对象 UTA0304 和 UTA0307。
在 Volexity 分析的一个例子中,UTA0304首先在 Signal 上伪装成乌克兰国防部官员接近受害者,然后说服他们将对话转移到另一个名为 Element 的安全聊天应用程序。
攻击者继续向他们发送一封鱼叉式网络钓鱼电子邮件,称他们需要单击消息中提供的链接才能加入聊天室。单击该链接会将受害者重定向到一个 Microsoft 页面,该页面要求提供设备代码以“允许访问”。
“这条消息是一种欺骗用户的策略,让他们以为他们被邀请进入一个安全的聊天,而实际上他们是在让攻击者访问他们的账户,”Volexity 的 Charlie Gardner、Steven Adair 和 Tom Lancaster 在一份分析中说。
“生成的设备代码在创建后仅在 15 分钟内有效。因此,与受害者的实时通信,并让他们期待 “邀请”,有助于确保网络钓鱼通过及时协调取得成功。
据说 CozyLarch 和 UTA0307 同样采取了类似的策略,敦促受害者加入 Microsoft Teams 会议,以未经授权访问 Microsoft 365 帐户,然后泄露感兴趣的文件。
“应该注意的是,这可能是单个威胁行为者运行多个不同活动的工作,”研究人员说,并补充说由于观察到的组件存在差异,他们正在被单独跟踪。
“这些俄罗斯威胁行为者似乎齐心协力,针对组织发起了几项活动,目的是在目标发现并实施对策之前同时滥用这种方法。”
信息来源:https://thehackernews.com/2025/02/microsoft-russian-linked-hackers-using.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局