Специалисты по кибербезопасности Microsoft обнаружили масштабную фишинговую кампанию, проводимую хакерской группой Storm-2372. Злоумышленники используют инновационный метод компрометации корпоративных учетных записей Microsoft 365, эксплуатируя механизм кодов авторизации устройств.
Механизм атаки и целевые организации
Атакующие фокусируются на организациях критической инфраструктуры, включая правительственные учреждения, оборонные предприятия и энергетические компании в регионах Европы, Северной Америки, Африки и Ближнего Востока. Злоумышленники используют коды авторизации, изначально предназначенные для устройств без клавиатуры или браузера, таких как smart TV и IoT-устройства.
Тактика социальной инженерии
Процесс атаки начинается с установления контакта через популярные мессенджеры (WhatsApp, Signal, Microsoft Teams), где хакеры маскируются под важных деловых партнеров. После этого жертве направляется фальшивое приглашение на онлайн-встречу, содержащее специально сгенерированный код авторизации устройства.
Технические аспекты компрометации
При использовании жертвой предложенного кода, злоумышленники получают доступ к токенам аутентификации (access и refresh), что позволяет им проникнуть в корпоративные сервисы Microsoft без необходимости ввода пароля. Особую опасность представляет использование хакерами идентификаторов Microsoft Authentication Broker, позволяющих генерировать новые токены и закрепляться в системе через Entra ID.
Рекомендации по защите
Эксперты Microsoft рекомендуют следующие меры безопасности:
— Блокировка функции кодов авторизации устройств где возможно
— Внедрение политик Conditional Access в Microsoft Entra ID
— Обязательное использование многофакторной аутентификации
— Ограничение доступа только доверенными устройствами и сетями
Исследователи компании Volexity подтверждают активность данного вектора атак, отмечая причастность к ним известной группировки APT29 (также известной как Cozy Bear и Midnight Blizzard). Важно понимать, что коды авторизации действительны только 15 минут, что требует от злоумышленников четкой координации действий в реальном времени. Организациям рекомендуется усилить мониторинг подозрительной активности и провести дополнительное обучение сотрудников по вопросам информационной безопасности.
