Device code phishing támadások
A Microsoft olyan kibertevékenységeket azonosított, amelyekről amelyről közepes biztonsággal úgy gondolják, hogy igazodik Oroszország érdekeihez és szakértelméhez. Az azonosított kibertevékenységeket a Microsoft által Storm-2372-nak nevezett csoporthoz köthetők. A támadások a jelek szerint 2024 augusztusa óta tartanak, és eddig kormányokat, nem kormányzati szervezeteket, valamint számos iparágat céloztak meg, többek között IT-szolgáltatás és technológiai, védelmi, távközlési, egészségügyi, felsőoktatási valamint az energia ágazatban Európában, Észak-Amerikában, Afrikában és a Közel-Keleten egyaránt.
(A Microsoft a Storm megnevezést azokra az ismeretlen, kialakulóban lévő kiberszereplőkre használja ideiglenes elnevezésként, amíg nem bizonyosodik meg megfelelő mértékben a mögötte álló szereplő eredetéről vagy személyazonosságáról.)
A támadások egy speciális adathalász technikát, az úgynevezett „device code phishing”-t használják, amellyel ráveszik a felhasználókat a produktív alkalmazásokba való bejelentkezésre, és ezzel együtt a Storm-2372 rögzíti a bejelentkezéshez kapcsolódó információkat (tokeneket), amelyekkel aztán hozzáférhetnek a kompromittált fiókokhoz. Az eszközkód hitelesítési (device code authentication) folyamat során egy numerikus vagy alfanumerikus kódot használunk egy fiók hitelesítésére egy olyan eszközről, amely nem képes interaktív hitelesítést végrehajtani egy webes folyamatként, és így a bejelentkezéshez egy másik eszközön kell elvégezni a hitelesítést. A device code phishing során a kiberszereplők ezt a folyamatot használják ki. A kiberszereplő legitim eszközkód kérést generál, és az áldozat ezt a kódot egy legitim bejelentkezési oldalon megadja. Eközben a kiberszereplő elfogja a generált hitelesítési tokeneket, majd ezeket a tokeneket felhasználva hozzáfér az áldozat fiókjaihoz és adataihoz. A kiberszerpelő ezeket a tokeneket arra is felhasználhatja, hogy jelszó nélkül hozzáférjen más olyan szolgáltatásokhoz, amelyekhez a felhasználónak jogosultságai vannak, például az e-mailhez vagy a felhőalapú tárhelyekhez. A kiberszereplő mindaddig hozzáféréssel rendelkezik a kompromittált fiókhoz, amíg az ellopott tokenek érvényesek.
A Microsoft által eddig megfigyelt tevékenységek alapján a Storm-2372 üzenetküldő szolgáltatásokat, köztük a WhatsAppot, a Signal-t és a Microsoft Teams-t használja az adathalászat során. célozta meg a potenciális áldozatokat, és a célpont számára fontos prominens személynek adta ki magát, hogy kapcsolatot alakítson ki, mielőtt később online eseményekre vagy találkozókra küldött meghívókat adathalász e-maileken keresztül.
A Microsoft emellett megfigyelte, hogy a Storm-2372 a Microsoft Graphot használja a kompromittált fiók üzeneteinek átkutatására. A kiberszereplő kulcsszavas keresést használt az olyan üzenetek megtekintésére, amelyek tartalmazzák a felhasználónév, jelszó, admin, teamviewer, anydesk, credentials, secret, ministry vagy gov szavakat. A Storm-2372 ezután a Microsoft Graphon keresztül szivárogtatja ki az emaileket.
A Microsoft megosztotta a kampányra vonatkozó elhárítási útmutatásokat, a megfigyelt taktikákat, technikákat és eljárásokat (TTP-k), illetve a hardeningre vonatkozó javaslatokat.
A Microsoft mellett a Volexity is azonosított hasonló kibertevékenységeket. A Volexity több olyan 2025. január közepén kezdődött social engineering és spear phishing kampányt azonosított, amelyek célja a Microsoft 365 fiókok kompromittálása volt. Az azonsoított kibertevékenységek célzottak voltak és többféle módon hajtották végre őket. A többségük különböző témájú spear-phishing e-mailekkel indult, de például az egyik esetben egy személyre szabott Signal üzenettel indult a támadás. A Volexity magas bizonyossággal úgy ítéli meg, hogy az azonosított kampányt oroszországi kiberszereplők hajtották végre. A Volexity három különböző kiberszereplőhöz köti a kibertevékenységeket úgy, mint az UTA0304, az UTA0307 a CozyLarch (amely átfedést mutat a NOBELIUM, DarkHalo, APT29, Midnight Blizzard, CozyDuke vagy CozyBear néven is ismert csoporttal). A Volexity szerint lehetséges, hogy az általa azonosított összes tevékenység egyetlen kiberszereplőhöz tartozik, de a hasonló targeting, időzítés és támadási módszer ellenére a kibertevékenységek egyes összetevői eléggé különböznek egymástól.
A Volexity által vizsgált esetekben a kiberszereplők többek között olyan szervezeteknek, entitásoknak adták ki magukat, mint az Egyesült Államok Külügyminisztériuma, az Ukrán Védelmi Minisztérium, az Európai Parlament vagy prominens kutatóintézetek. Az eltérő kezdeti kommunikációk végül ugyanarra vezettek: a támadó meghívta a megcélzott felhasználót egy Microsoft Teams megbeszélésre, videokonferencia, hozzáférést kért alkalmazásokhoz és adatokhoz külső M365 felhasználóként vagy csevegőszobához való csatlakozást küldött az áldozatnak.
