Cihaz kodu kimlik doğrulama akışından yararlanan sofistike bir kimlik avı kampanyası, Microsoft Tehdit İstihbaratı tarafından belirlendi ve hükümet, STK’lar, BT hizmetleri ve savunma ve enerji gibi kritik endüstriler de dahil olmak üzere çok çeşitli sektörleri hedef aldı.
Kampanya, olarak bilinen bir tehdit aktörüne atfedilen Fırtına-2372Ağustos 2024’ten beri aktiftir ve Rus devlet çıkarlarına uygun olarak değerlendirilir.
Bu yeni saldırı yöntemi, kullanıcı hesaplarını tehlikeye atmak ve hassas verilere yetkisiz erişim elde etmek için meşru bir kimlik doğrulama mekanizmasını kullanır.
Cihaz kodu kimlik doğrulamasını kullanma
Saldırı, IoT cihazları veya akıllı TV’ler gibi sınırlı giriş özelliklerine sahip cihazları doğrulamak için tasarlanmış bir protokol olan OAuth 2.0 Cihaz Yetkilendirme Hibe Akışı’ndan yararlanır.
Bu akışta, kullanıcılar ayrı bir tarayıcı özellikli cihaza bir aygıt kodu girerek kimlik doğrulaması yaparlar.
Bu yöntem amaçlanan kullanım durumlarında güvenli olmakla birlikte, saldırganlar onu kötü niyetli amaçlar için manipüle etmenin yollarını bulmuşlardır.
Gözlenen kampanyada, Storm-2372, Microsoft Teams veya WhatsApp gibi meşru uygulamalar olarak görünen kimlik avı e-postaları veya mesajlar aracılığıyla kurbanları kullanan ve kurbanları kullanan meşru cihaz kodları üretir.
Mağdurlar, bu kodları meşru oturum açma sayfalarına girmek için kandırıyor ve bilmeden saldırganların erişim belirteçleri veriyor.
Bu jetonlar, saldırganların mağdurun şifresine veya çok faktörlü kimlik doğrulamasına (MFA) ihtiyaç duymadan hesaplara ve hizmetlere erişmelerine izin vererek ağlarda yanal hareket ve uzun süreli yetkisiz erişim sağlar.
Saldırı Yaşam Döngüsü
- İlk temas: Saldırganlar, Signal veya WhatsApp gibi üçüncü taraf mesajlaşma platformları aracılığıyla güvenilir bireyler veya kuruluşlar olarak poz verir. Sahte toplantı davetiyeleri içeren kimlik avı e -postaları göndermeden önce ilişki kurarlar.
- Kimlik avı yürütme: Mağdurlar, meşru bir oturum açma sayfasına (örneğin Microsoft’un giriş sayfası) bir cihaz kodu girmeye yönlendirilir. Kimlik doğrulandığında, saldırgan ortaya çıkan erişim belirteçlerini keser.
- Kontratür sonrası faaliyetler: Bu belirteçleri kullanarak saldırganlar şunları yapabilir:
- Hassas verilere Microsoft Graph API gibi platformlar aracılığıyla erişin.
- Hasat kimlik bilgileri ve e -postaları ekspiltrat.
- Uzaklıklı hesaplardan daha fazla kimlik avı e -postası göndererek ağ içinde yanal olarak hareket edin.
Microsoft’un araştırması, Storm-2372’nin kimlik bilgileri, idari erişim ve devlet operasyonları ile ilgili verileri çıkarmak için kapsamlı bir şekilde kullanıldığını ortaya koydu.
Kuruluşların, cihaz kodu kimlik avı ile ilişkili riskleri azaltmak için sağlam önlemler almaları istenir:
- Cihaz Kodu Akışını Kısıtlayın: Kesinlikle gerekli olmadıkça bu kimlik doğrulama yöntemini devre dışı bırakın.
- Koşullu erişim politikalarını uygulayın: Şüpheli imzalar için MFA’yı engellemek veya talep etmek için riske dayalı politikalar kullanın.
- Kullanıcıları eğitin: Çalışanları kimlik avı denemelerini tanımaları ve kimlik doğrulama isteklerini doğrulamalarını için eğitin.
- Geri ihlal edilmiş jetonları iptal etmek: Şüpheli yenileme jetonlarını düzenli olarak denetleyin ve iptal edin.
- Kimlik avına dirençli MFA’yı benimseyin: SMS tabanlı MFA yerine FIDO jetonları veya APP tabanlı passeyler gibi yöntemlere geçiş.
Cihaz kodu kimlik doğrulamasının kullanımı, kimlik sistemlerini hedefleyen siber tehditlerin gelişen doğasını vurgulamaktadır.
Meşru platformlara olan güvenden yararlanarak, Storm-2372 gibi saldırganlar geleneksel güvenlik önlemlerini atlayabilir.
Kuruluşlar uyanık kalmalı, gelişmiş algılama mekanizmaları uygulamalı ve kullanıcıları dijital ortamlarını korumak için ortaya çıkan tehditler konusunda eğitmelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free