Microsoft обвинила «русских хакеров» в применении фишинга через коды устройств для компрометации аккаунтов

изображение: recraft
Компания Microsoft сообщила о выявлении новой группы хакеров, получившей название Storm-2372. По информации корпорации, именно эта группа стоит за серией кибератак, затронувших разнообразные отрасли на Западе с августа 2024 г. Microsoft связывает деятельность хакеров с Россией.
По данным компании, атаки нацелены на органы власти, неправительственные организации (НПО), предприятия оборонной отрасли, ИТ-компании, телекоммуникационные структуры, медучреждения, университеты, а также нефтегазовые и энергетические корпорации. География атак охватывает страны Европы, Северной Америки, Ближнего Востока и Африки.
По словам экспертов Microsoft, злоумышленники, которых в корпорации «со средней степенью уверенности» ассоциируют с российскими интересами, используют фальшивые аккаунты в мессенджерах WhatsApp, Signal и Microsoft Teams. Путём выдачи себя за значимых персон, связанных с целевыми организациями, они добиваются доверия жертв.
Microsoft Threat Intelligence в новом отчёте отмечает, что хакеры прибегают к особой фишинговой методике — «фишинг кода устройства». С её помощью пользователей вводят в заблуждение, заставляя авторизоваться в рабочих приложениях. В этот момент группа Storm-2372 перехватывает токены входа, что открывает доступ к аккаунтам.
По информации Microsoft, мошенники эксплуатируют украденные коды аутентификации для проникновения в профили и получения конфиденциальных сведений. Кроме того, используя действительные токены, они сохраняют доступ к системам жертв до окончания их срока действия.
Специалисты корпорации подчёркивают, что злоумышленники рассылают фишинговые уведомления, маскируя их под приглашения на встречи через Microsoft Teams. Получателю предлагается ввести сгенерированный код устройства для авторизации, что позволяет хакерам перехватить сеанс с использованием активного токена доступа.
Также в отчёте Microsoft уточняется, что преступники инициируют законный запрос на код аутентификации, вынуждая жертву вводить его на официальной странице входа. Таким образом, они получают аутентификационные токены — как для доступа, так и для обновления — и применяют их для получения данных из аккаунтов жертв.
Эксперты добавляют, что эти фишинговые токены могут быть использованы для проникновения в другие сервисы, к которым уже открыты разрешения, включая почтовые сервисы и облачные хранилища, причём ввод пароля при этом не требуется.



