Sofistike bir siber saldırı kampanyasında, Storm-2372 olarak tanımlanan bir tehdit oyuncusu Microsoft Teams toplantılarını “Cihaz Kodu Kimlik Avı” saldırılarını yürütmek için davet ediyor.
Ağustos 2024’ten bu yana gözlemlenen bu kampanya, Avrupa, Kuzey Amerika, Afrika ve Orta Doğu’daki hükümetleri, STK’ları, BT hizmetlerini, savunma, telekomünikasyon, sağlık, eğitim ve enerji sektörlerini hedefliyor.
Microsoft’un Tehdit İstihbarat Merkezi (MSTIC), Storm-2372’nin Rus çıkarları ve tradecraft ile uyumlu olduğunu orta güvenle değerlendiriyor.
Aygıt Kodu Kimlik Yardım Nasıl Çalışır?
Aygıt kodu kimlik avı, IoT sistemleri veya akıllı TV’ler gibi giriş kısıtlı cihazlar için tasarlanmış bir mekanizma olan OAuth 2.0 Cihaz Yetkilendirme Hibe Akışı’nı (RFC 8628) kullanır.
Meşru senaryolarda, kullanıcılar daha iyi giriş özelliklerine sahip ayrı bir cihaza bir aygıt kodu girerek kimlik doğrulaması yaparlar. Bununla birlikte, Storm-2372, kimlik doğrulama jetonlarını çalmak için bu süreci manipüle eder.
Saldırı, Storm-2372 ile Microsoft’un API’sı aracılığıyla meşru bir cihaz kodu isteği oluşturarak başlar. Saldırganlar daha sonra Microsoft Teams toplantılarında davetiyeler olarak maskelenen kimlik avı e -postaları gönderir.
Bu e -postalar, alıcıları Microsoft’un meşru giriş sayfasında sağlanan aygıt kodunu kullanarak kimlik doğrulamasını ister.
Mağdur kimlik doğrulamayı tamamladıktan sonra, saldırganlar süreç sırasında üretilen erişim ve yenileme jetonlarını engeller.
Bu jetonlar, jetonlar geçerli kaldığı sürece, parola veya çok faktörlü kimlik doğrulama (MFA) gerekmeden kurbanın hesaplarına kalıcı erişim sağlar.
Saldırının teknik detayları
Storm-2372, hedefleriyle ilgili önde gelen bireyleri taklit ederek WhatsApp, Signal veya Microsoft ekipleri gibi mesajlaşma uygulamalarıyla temas kurmaya başlar.
Rapport oluşturduktan sonra, e -posta yoluyla sahte ekipler toplantı davetleri gönderirler.
Daha sonra, kurbanlar meşru bir Microsoft oturum açma sayfasında saldırganın tarafından oluşturulan bir cihaz koduna girmeye kandırılır.
Saldırganlar, jeton üretimi için API’yı izler ve kimlik doğrulaması tamamlandıktan sonra erişim belirteçlerini alırlar.
Saldırganlar, veri toplama için Microsoft Graph API’sına erişmek için geçerli jeton kullanır. E -postaları “şifre”, “admin” veya “kimlik bilgileri” gibi hassas anahtar kelimeler için ararlar ve verileri pespiltrat yaparlar.
Microsoft, “Tehdit oyuncusu, kullanıcı adı, şifre, admin, teamViewer, anydesk, kimlik bilgileri, gizli, bakanlık ve gov gibi kelimeleri içeren mesajları görüntülemek için anahtar kelime aramayı kullanıyordu” dedi.
Geri ihlal edilen hesapları kullanarak, daha fazla yayılmak için örgüt içi kimlik avı e-postaları gönderirler.
Şu an itibariyle, Storm-2372, cihaz kodu akışında Microsoft kimlik doğrulama komisyoncusu için istemci kimliğini kullanarak taktikleri değiştirdi.
Bu, birincil yenileme jetonları (PRT’ler) elde etmelerine ve Entra ID ortamlarında saldırgan kontrollü cihazları kaydettirerek uzun vadeli kalıcılığa olanak tanıyan.
Azaltma stratejileri
Microsoft, bu saldırılara karşı savunmak için çeşitli önlemler önermektedir:
- Kesinlikle gerekli olmadıkça bu kimlik doğrulama yöntemini engelleyin.
- Çalışanları kimlik avı denemelerini tanımak ve imzalar sırasında uygulama istemlerini doğrulamak için eğitin.
- Şüpheli etkinlik tespit edilirse, Revokesigninsessions kullanarak kullanıcı yenileme jetonlarını iptal edin.
- Kullanıcı davranışına göre MFA’yı zorlayın ve riskli işaretleri engelleyin.
- SMS tabanlı MFA yerine Fido tokenleri veya passeyler gibi yöntemleri benimseyin.
- Aerarlaştırılmış izleme ve yanıt için şirket içi dizinleri bulut dizinleriyle entegre edin.
Office 365 için Microsoft Defender, kimlik avı ile tutarlı özelliklere sahip e-postalar ve giriş sayfalarını taklit eden HTML dosyaları gibi kimlik avıyla ilgili etkinlikler için uyarılar sağlar.
Ek olarak, Entra ID koruması, anonim IP adreslerinden veya olağandışı belirteç kullanım kalıplarından aktivite gibi anormal davranışlar için risk tespiti sunar.
Kuruluşlar, sağlam kimlik koruma stratejilerini benimsemeli ve kullanıcıları bu tür tehditleri etkili bir şekilde azaltmaları için eğitmelidir.