Rusya destekli tehdit aktörleri, en az 2024 Ağustos ayından bu yana aktif olan bir cihaz kodu kimlik avı kampanyasında çok çeşitli kuruluşlara saldırdı.
Microsoft Tehdit İstihbaratı Perşembe günü bir blog yazısında, Storm-2372’nin, saldırganların daha sonra kullandığı belirteçleri yakalamak için cihaz kodu kimlik doğrulamasının uygulamalar için aktığı belirli bir kimlik avı tekniğini kullandığı için Rusya bağlantılı bir tehdit grubunun uyardığı konusunda uyardı. Hedeflenen hesaplara erişin. Post, Storm-2372’nin “aktif ve başarılı” kampanyasının Microsoft takımlarını, sinyali ve whatsapp’ı taklit eden lures yarattığı konusunda uyardı.
Microsoft’a göre, Storm-2372, BT, savunma, telekomünikasyon, sağlık, yüksek öğrenim ve Avrupa, Kuzey Amerika, Afrika ve Orta Doğu’daki enerji sektörlerinde devlet kuruluşlarını ve kuruluşlarını hedef aldı.
Cihaz kodları, bir cihazdaki bir hesabı doğrulamak için kullanılan sayısal veya alfasayısal kodlardır. Cihaz kodu kimlik avı saldırılarında, tehdit aktörleri uygulamayı veya hizmeti bir cihaz kodu oluşturmaya yönlendirir ve daha sonra hedeflenen kullanıcıları meşru bir oturum açma portalına girmeye kandırır.
Microsoft Tehdit İstihbaratı, “Bu, aktörün erişimini sağlar ve üretilen kimlik doğrulamasını (erişim ve yenileme) yakalamalarını sağlar, daha sonra hedefin hesaplarına ve verilerine erişmek için bu jetonları kullanın,” dedi Microsoft Tehdit İstihbaratı Blog yazısı. “Aktör, kullanıcının şifreye ihtiyaç duymadan e -posta veya bulut depolama gibi izinleri olan diğer hizmetlere erişmek için bu yomurunan kimlik doğrulama jetonlarını da kullanabilir.”
Storm-2372 Kimlik Yardım Kampanyasını Yoğunlaştırır
Kimlik avı saldırıları artmış gibi görünüyor. Cuma günü yayınlanan gönderiye yapılan bir güncellemede Microsoft, son 24 saat içinde Storm-2372’nin, saldırganların yenileme jetonu almasına izin veren Microsoft kimlik doğrulama komisyoncusu için istemci kimliğini kullanmaya başladığı konusunda uyardı. Tehdit aktörleri, Microsoft’un Entra kimliğine aktör kontrollü bir cihazı kaydeden başka bir kimlik doğrulama jetonu istemek için yenileme jetonunu kullanabilir.
Güncelleme, “Aynı yenileme jetonu ve yeni cihaz kimliği ile Storm-2372, birincil yenileme jetonu (PRT) elde edebilir ve bir kuruluşun kaynaklarına erişebilir.” Dedi. “E-postaları toplamak için bağlı cihazı kullanarak Storm-2372’yi gözlemledik.”
Microsoft Kimlik Doğrulama Broker, Microsoft Authenticator uygulamalarının bir bileşenidir. Siber Güvenlik Dive, yorum için Microsoft ile temasa geçti, ancak şirket basın zamanında yanıt vermemişti.
Volexity, şüpheli Rus tehdit aktörlerinin hem Microsoft Office hem de Microsoft ekipleri için müşteri kimliklerini kullandıkları benzer tehdit faaliyetleri gözlemledi. Bir Blog yazısı Geçen hafta, siber güvenlik şirketi, cihaz kodu kimlik avı saldırılarına karşı en etkili savunmanın, bir kuruluşun Microsoft 365 kiracısı için cihaz kodu kimlik doğrulamasını tamamen yasaklayan koşullu erişim politikaları oluşturmak olduğunu söyledi.
Volexity’nin yayınına göre, cihaz kodu teknikleri özellikle tehlikelidir, çünkü kimlik avı e -postaları kötü amaçlı bağlantılar veya ekler taşımaz ve siber güvenlik ürünleri tarafından kolayca tanımlanmamıştır. Blog yazısı, “Volexity’nin hedeflenen saldırılara görünürlüğü, bu özel yöntemin, aynı (veya benzer) tehdit aktörleri tarafından yürütülen diğer sosyal mühendislik ve mızrak aktı saldırılarının yıllarca birleşik çabalarından çok daha etkili olduğunu gösteriyor.” Dedi.