Группа Storm-2372: Новая угроза фишинга по коду устройства

Группа Storm-2372: Новая угроза фишинга по коду устройства

Компания Microsoft провела исследование, в ходе которого была идентифицирована группа хакеров, получившая название Storm-2372. По оценкам экспертов, эта группа имеет связи с российскими интересами и с августа 2024 года активно проводит кампании по фишингу кодов устройств.

Цели атак

Storm-2372 нацелилась на:

  • государственные учреждения;
  • негосударственные организации;
  • разные отрасли промышленности.

Пострадавшие регионы включают Европу, Северную Америку, Африку и Ближний Восток.

Методы атак

Storm-2372 использует фишинг с применением кода устройства, что представляет собой риск для организаций. Данная техника предполагает использование потока аутентификации, характерного для устройств, которые не могут выполнить интерактивную аутентификацию. Это позволяет хакерам перехватывать токены аутентификации в процессе входа в систему.

В своих атаках группа применяет следующие фишинговые тактики:

  • Создание поддельных приложений для обмена сообщениями, таких как WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), Signal и Microsoft Teams;
  • Отправка фишинговых электронных писем, имитирующих приглашения на собрание, где получателям предлагается пройти аутентификацию с помощью сгенерированного злоумышленниками кода устройства;

После успешной аутентификации злоумышленники получают действительные токены доступа, что облегчает им дальнейшее перемещение по скомпрометированным сетям.

Потенциальные последствия атак

Используя украденные токены, хакеры могут:

  • Собирать конфиденциальные данные;
  • Получать доступ к связанным учетным записям;
  • Отправлять дополнительные фишинговые сообщения внутри организации, используя учетную запись жертвы

Тактика и цели

Тактика Storm-2372 включает установление взаимопонимания с потенциальными жертвами. Это достигается путем олицетворения перед отправкой приглашений, требующих аутентификации по коду устройства.

Текущая деятельность и меры защиты

Storm-2372 активно использует Microsoft Graph API для поиска и эксфильтрации конфиденциальной информации, включая электронные письма с учетными данными и важные ключевые слова. Эта текущая деятельность подчеркивает серьезность угрозы от методов фишинга с использованием кода устройства, которые могут обеспечивать постоянный доступ к скомпрометированным учетным записям.

Microsoft подчеркивает необходимость усиления мер кибербезопасности в организациях и продолжает отслеживать операции Storm-2372, делясь результатами исследований и стратегиями смягчения последствий с затронутыми объектами, чтобы защитить их среды от этих угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: