據(jù)安全研究員觀察發(fā)現(xiàn)，一個可能與俄羅斯有關(guān)聯(lián)的威脅者發(fā)起的活躍攻擊活動，正利用設(shè)備代碼釣魚手段針對個人微軟 365 賬戶進行攻擊。

這些攻擊目標涉及歐洲、北美、非洲和中東地區(qū)的政府、非政府組織、信息技術(shù)服務(wù)和科技、國防、電信、醫(yī)療以及能源/石油和天然氣行業(yè)。

微軟威脅情報中心將此次設(shè)備代碼釣魚活動背后的威脅者追蹤為“風(fēng)暴-237”。基于受害者特征和作案手法，研究人員認為，該活動與符合俄羅斯利益的國家行為有關(guān)。

設(shè)備代碼釣魚攻擊

輸入受限設(shè)備——那些缺少鍵盤或瀏覽器支持的設(shè)備，比如智能電視和某些物聯(lián)網(wǎng)設(shè)備，依靠代碼認證流程讓用戶通過在另一臺設(shè)備（如智能手機或電腦）上輸入授權(quán)碼來登錄應(yīng)用程序。

微軟研究人員發(fā)現(xiàn)，自去年 8 月以來，Storm-2372 通過誘騙用戶在合法的登錄頁面輸入攻擊者生成的設(shè)備代碼，濫用這種身份驗證流程。

這些特工人員首先通過在 WhatsApp、Signal 和 Microsoft Teams 等消息平臺上“冒充與目標有關(guān)的知名人士”與目標建立聯(lián)系，然后才發(fā)起攻擊。

Storm-2372發(fā)送到目標的消息

威脅者會在通過電子郵件或短信發(fā)送虛假的在線會議邀請之前，與受害者逐漸建立起一種融洽的關(guān)系。根據(jù)研究人員的說法，受害者收到一個團隊會議邀請，其中包括攻擊者生成的設(shè)備代碼。

微軟表示：“這些邀請會引誘用戶完成設(shè)備代碼認證請求，模擬消息傳遞服務(wù)，這為Storm-2372提供了對受害者賬戶的初始訪問權(quán)限，并啟用了Graph API數(shù)據(jù)收集活動，如電子郵件收集。”

只要被盜的令牌有效，黑客就可以在不需要密碼的情況下訪問受害者的微軟服務(wù)（電子郵件、云存儲）。

設(shè)備代碼網(wǎng)絡(luò)釣魚攻擊概述

然而，微軟表示，攻擊者現(xiàn)在正在設(shè)備代碼登錄流中使用Microsoft Authentication Broker的特定客戶端ID，這允許他們生成新的令牌。

這開啟了新的攻擊和持久化可能性，因為攻擊者可以使用客戶端ID將設(shè)備注冊到微軟基于云的身份和訪問管理解決方案Entra ID。

使用相同的刷新令牌和新的設(shè)備標識，Storm-2372能夠獲得主刷新令牌（PRT）并訪問其資源。目前已經(jīng)觀察到Storm-2372使用連接的設(shè)備收集電子郵件。

防御風(fēng)暴2372

為了對抗Storm-2372使用的設(shè)備代碼釣魚攻擊，微軟建議在可能的情況下阻止設(shè)備代碼流，并在微軟Entra ID中執(zhí)行條件訪問策略，以限制其對可信設(shè)備或網(wǎng)絡(luò)的使用。

如果懷疑設(shè)備代碼網(wǎng)絡(luò)釣魚，立即使用‘revokeSignInSessions’撤銷用戶的刷新令牌，并設(shè)置條件訪問策略來強制受影響的用戶重新認證。

最后，使用Microsoft Entra ID的登錄日志來監(jiān)視并快速識別短時間內(nèi)大量的身份驗證嘗試、來自無法識別的ip的設(shè)備代碼登錄，以及發(fā)送給多個用戶的設(shè)備代碼身份驗證的意外提示。

參考及來源：https://www.bleepingcomputer.com/news/security/microsoft-hackers-steal-emails-in-device-code-phishing-attacks/