Группа Storm-2372: Новая угроза фишинга по коду устройства

Компания Microsoft провела исследование, в ходе которого была идентифицирована группа хакеров, получившая название Storm-2372. По оценкам экспертов, эта группа имеет связи с российскими интересами и с августа 2024 года активно проводит кампании по фишингу кодов устройств.
Цели атак
Storm-2372 нацелилась на:
- государственные учреждения;
- негосударственные организации;
- разные отрасли промышленности.
Пострадавшие регионы включают Европу, Северную Америку, Африку и Ближний Восток.
Методы атак
Storm-2372 использует фишинг с применением кода устройства, что представляет собой риск для организаций. Данная техника предполагает использование потока аутентификации, характерного для устройств, которые не могут выполнить интерактивную аутентификацию. Это позволяет хакерам перехватывать токены аутентификации в процессе входа в систему.
В своих атаках группа применяет следующие фишинговые тактики:
- Создание поддельных приложений для обмена сообщениями, таких как WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), Signal и Microsoft Teams;
- Отправка фишинговых электронных писем, имитирующих приглашения на собрание, где получателям предлагается пройти аутентификацию с помощью сгенерированного злоумышленниками кода устройства;
После успешной аутентификации злоумышленники получают действительные токены доступа, что облегчает им дальнейшее перемещение по скомпрометированным сетям.
Потенциальные последствия атак
Используя украденные токены, хакеры могут:
- Собирать конфиденциальные данные;
- Получать доступ к связанным учетным записям;
- Отправлять дополнительные фишинговые сообщения внутри организации, используя учетную запись жертвы
Тактика и цели
Тактика Storm-2372 включает установление взаимопонимания с потенциальными жертвами. Это достигается путем олицетворения перед отправкой приглашений, требующих аутентификации по коду устройства.
Текущая деятельность и меры защиты
Storm-2372 активно использует Microsoft Graph API для поиска и эксфильтрации конфиденциальной информации, включая электронные письма с учетными данными и важные ключевые слова. Эта текущая деятельность подчеркивает серьезность угрозы от методов фишинга с использованием кода устройства, которые могут обеспечивать постоянный доступ к скомпрометированным учетным записям.
Microsoft подчеркивает необходимость усиления мер кибербезопасности в организациях и продолжает отслеживать операции Storm-2372, делясь результатами исследований и стратегиями смягчения последствий с затронутыми объектами, чтобы защитить их среды от этих угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



