據(jù)安全研究員觀察發(fā)現(xiàn)，一個可能與俄羅斯有關聯(lián)的威脅者發(fā)起的活躍攻擊活動，正利用設備代碼釣魚手段針對個人微軟 365 賬戶進行攻擊。

這些攻擊目標涉及歐洲、北美、非洲和中東地區(qū)的政府、非政府組織、信息技術服務和科技、國防、電信、醫(yī)療以及能源/石油和天然氣行業(yè)。

微軟威脅情報中心將此次設備代碼釣魚活動背后的威脅者追蹤為“風暴-237”?；谑芎φ咛卣骱妥靼甘址?，研究人員認為，該活動與符合俄羅斯利益的國家行為有關。

設備代碼釣魚攻擊

輸入受限設備——那些缺少鍵盤或瀏覽器支持的設備，比如智能電視和某些物聯(lián)網(wǎng)設備，依靠代碼認證流程讓用戶通過在另一臺設備（如智能手機或電腦）上輸入授權(quán)碼來登錄應用程序。

微軟研究人員發(fā)現(xiàn)，自去年 8 月以來，Storm-2372 通過誘騙用戶在合法的登錄頁面輸入攻擊者生成的設備代碼，濫用這種身份驗證流程。

這些特工人員首先通過在 WhatsApp、Signal 和 Microsoft Teams 等消息平臺上“冒充與目標有關的知名人士”與目標建立聯(lián)系，然后才發(fā)起攻擊。

Storm-2372發(fā)送到目標的消息

威脅者會在通過電子郵件或短信發(fā)送虛假的在線會議邀請之前，與受害者逐漸建立起一種融洽的關系。根據(jù)研究人員的說法，受害者收到一個團隊會議邀請，其中包括攻擊者生成的設備代碼。

微軟表示：“這些邀請會引誘用戶完成設備代碼認證請求，模擬消息傳遞服務，這為Storm-2372提供了對受害者賬戶的初始訪問權(quán)限，并啟用了Graph API數(shù)據(jù)收集活動，如電子郵件收集?！?/p>

只要被盜的令牌有效，黑客就可以在不需要密碼的情況下訪問受害者的微軟服務（電子郵件、云存儲）。

設備代碼網(wǎng)絡釣魚攻擊概述

然而，微軟表示，攻擊者現(xiàn)在正在設備代碼登錄流中使用Microsoft Authentication Broker的特定客戶端ID，這允許他們生成新的令牌。

這開啟了新的攻擊和持久化可能性，因為攻擊者可以使用客戶端ID將設備注冊到微軟基于云的身份和訪問管理解決方案Entra ID。

使用相同的刷新令牌和新的設備標識，Storm-2372能夠獲得主刷新令牌（PRT）并訪問其資源。目前已經(jīng)觀察到Storm-2372使用連接的設備收集電子郵件。

防御風暴2372

為了對抗Storm-2372使用的設備代碼釣魚攻擊，微軟建議在可能的情況下阻止設備代碼流，并在微軟Entra ID中執(zhí)行條件訪問策略，以限制其對可信設備或網(wǎng)絡的使用。

如果懷疑設備代碼網(wǎng)絡釣魚，立即使用‘revokeSignInSessions’撤銷用戶的刷新令牌，并設置條件訪問策略來強制受影響的用戶重新認證。

最后，使用Microsoft Entra ID的登錄日志來監(jiān)視并快速識別短時間內(nèi)大量的身份驗證嘗試、來自無法識別的ip的設備代碼登錄，以及發(fā)送給多個用戶的設備代碼身份驗證的意外提示。

參考及來源：https://www.bleepingcomputer.com/news/security/microsoft-hackers-steal-emails-in-device-code-phishing-attacks/