Microsoft Tehdit İstihbaratı tarafından tanımlanan gelişmiş bir kimlik avı kampanyası, kimlik doğrulama belirteçlerini yakalamak için “Cihaz Kodu Kimlik Avı” olarak bilinen bir teknikten yararlanıyor.
Storm-2372 adlı bir gruba atfedilen bu saldırı, Ağustos 2024’ten beri aktiftir ve küresel olarak çok çeşitli endüstrileri ve hükümetleri hedeflemektedir.
Kampanya, kullanıcıları üretkenlik uygulamalarına oturum açmaya yönlendiren ve saldırganların uzlaşmış hesaplara erişmek için kullanılabilecek kimlik doğrulama jetonlarını yakalamasına izin veren bir kimlik avı tekniği kullanıyor.
Cihaz kodu kimlik doğrulaması, etkileşimli web tabanlı kimlik doğrulama gerçekleştiremeyen cihazlardan hesapları doğrulamak için kullanılan bir yöntemdir.
Microsoft’taki güvenlik uzmanları, oturum açmak için ayrı bir cihazda sayısal veya alfasayısal bir kod girmeyi içerdiğini belirtti. Aygıt kodu kimlik avında, saldırganlar meşru bir cihaz kodu isteği oluşturuyor ve hedefleri meşru bir oturum açma sayfasına girmeye yönlendiriyorlar.
Bu, saldırganlara, hedefin hesaplarına ve verilerine bir şifreye ihtiyaç duymadan erişmek için kullanabilecekleri kimlik doğrulama ve yenileme belirteçlerine erişim sağlar.
.webp)
Storm-2372’nin taktikleri
Storm-2372’nin kampanyası, WhatsApp, Signal ve Microsoft Teams gibi mesajlaşma uygulama deneyimlerine benzeyen yemleri yaratmayı içerir.
Saldırganlar, davetiyeleri karşılıyor gibi görünen kimlik avı e -postalarını göndermeden önce hedeflerle uyum sağlamak için önde gelen bireyler olarak poz veriyor.
Bu davetiyeler, kullanıcıların saldırganların geçerli erişim belirteçlerini yakalamak için kullandıkları bir cihaz kodu kullanarak kimlik doğrulaması yapmalarını ister.
.webp)
Erişim belirteçleri aldıktan sonra, Storm-2372 bunları Microsoft Graph kullanarak uzlaşılmış ağlar ve hasat e-postaları içinde yanal olarak hareket etmek için kullanır.
Saldırganlar uzlaşmış hesaplarda “kullanıcı adı”, “şifre” ve “kimlik bilgileri” gibi anahtar kelimeleri ararlar.
.webp)
Microsoft Defender XDR için Örnek Avlanma Sorgusu:-
let suspiciousUserClicks = materialize(UrlClickEvents
where ActionType in ("ClickAllowed", "UrlScanInProgress", "…")
where UrlChain has_any ("microsoft.com/devicelogin", "login…")
extend AccountUpn = tolower(AccountUpn)
project ClickTime = Timestamp, ActionType, UrlChain, Network…Aygıt kodu kimlik avı saldırılarına karşı savunmak için kuruluşlar, cihaz kodu akışlarının kullanımını kısıtlamalı, kullanıcıları kimlik avı taktikleri konusunda eğitmeli ve MFA ve FIDO jetonları gibi kimlik avlamaya dayanıklı yöntemler gibi güçlü kimlik doğrulama önlemlerini uygulamalıdır.
Riskli işaretleri izlemek ve kimlik yönetimini merkezileştirmek için şartlı erişim politikalarının uygulanması güvenliği daha da artırabilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free