Microsoft, aradığı ortaya çıkan bir tehdit kümesine dikkat çekiyor Fırtına-2372 Bu, Ağustos 2024’ten bu yana çeşitli sektörlere yönelik yeni bir siber saldırıya atfedildi.
Saldırılar hükümeti, hükümet dışı örgütleri (STK’lar), bilgi teknolojisi (BT) hizmet ve teknoloji, savunma, telekomünikasyon, yüksek öğrenim, yüksek öğrenim ve Avrupa, Kuzey Amerika, Afrika ve ortada enerji/petrol ve gaz sektörlerini hedeflemiştir. Doğu.
Rus çıkarları, mağdur ve tradecraft ile uyumlu orta güvenle değerlendirilen tehdit oyuncusu, WhatsApp, Signal ve Microsoft ekipleri gibi mesajlaşma uygulamaları aracılığıyla kullanıcıları hedefle ilgili olarak, hedefle ilgili önemli bir kişi olduğunu iddia ederek hedeflemeye gözlemlendi. Güven oluşturmaya çalışın.
Microsoft, “Saldırılar, kullanıcıları üretkenlik uygulamalarına oturum açarken kullanıcıları verimlilik uygulamalarına giriş yapmalarını kandıran ‘Aygıt Kodu Kimlik Avı’ adlı belirli bir kimlik avı tekniğini kullanıyor. Tehdit istihbaratı yeni bir raporda dedi.
Amaç, hedef hesaplara erişme tekniği aracılığıyla elde edilen kimlik doğrulama kodlarından yararlanmak ve hassas verileri elde etmek için erişimi kötüye kullanmak ve jetonlar geçerli kaldığı sürece mağdur ortamına kalıcı erişim sağlamaktır.
Teknoloji devi, saldırının, Microsoft ekipleri, tıklandığında, mesaj alıcılarını bir tehdit aktör tarafından oluşturulan cihaz kodu kullanarak kimliği doğrulamaya teşvik eden ve böylece rakiplerin geçerli erişimini kullanarak kimlik doğrulamalı oturumu ele geçirmesine izin veren davetiyeleri karşılayan davetiyeleri karşılayan kimlik avı gönderilmesini içerdiğini söyledi. jeton.
Microsoft, “Saldırı sırasında, tehdit oyuncusu meşru bir cihaz kodu isteği üretiyor ve hedefi meşru bir oturum açma sayfasına girmeye yönlendiriyor.” “Bu, aktörün erişimini sağlar ve üretilen kimlik doğrulamasını – erişim ve yenilemeyi – yakalamalarını sağlar, daha sonra hedeflerin hesaplarına ve verilerine erişmek için bu jetonları kullanır.”
Daha sonra, yomurunan kimlik doğrulama jetonları, kullanıcının parolaya ihtiyaç duymadan e -posta veya bulut depolama gibi izinleri olan diğer hizmetlere erişmek için kullanılabilir.
Microsoft, geçerli oturumun, tehlike altına alınan hesaptan diğer kullanıcılara benzer kimlik avı örgütler içi mesajlar göndererek ağ içinde yanal olarak hareket etmek için kullanıldığını söyledi. Ayrıca, Microsoft Graph hizmeti, ihlal edilen hesabın mesajları aracılığıyla aramak için kullanılır.
“Tehdit oyuncusu, kullanıcı adı, şifre, admin, teamViewer, anydesk, kimlik bilgileri, gizli, bakanlık ve gov gibi mesajları içeren mesajları görüntülemek için anahtar kelime aramayı kullanıyordu,” dedi Redmond, bu filtre kriterlerine uygun e -postaların eklenmesi daha sonra eklenmiştir. Tehdit Oyuncu.
Bu tür saldırıların sağladığı riski azaltmak için kuruluşların mümkün olan her yerde cihaz kodu akışını engellemeleri önerilir, kimlik avına dirençli çok faktörlü kimlik doğrulama (MFA) ve en az ayrıcalık prensibini takip eder.