Microsoft está llamando la atención sobre un clúster de amenaza emergente que pira Tormenta-2372 Eso se ha atribuido a un nuevo conjunto de ataques cibernéticos dirigidos a una variedad de sectores desde agosto de 2024.
Los ataques han atacado a los servicios y tecnología del gobierno, las organizaciones no gubernamentales (ONG), los servicios y la tecnología de la tecnología de la información (TI), la defensa, las telecomunicaciones, la vigor, la educación superior y los sectores de energía/petróleo y gas en Europa, América del Ártico, África y el medio Este.
El actor de amenaza, evaluado con confianza media para alinearse con los intereses rusos, la victimología y la artesanía, se ha observado que se dirige a los usuarios a través de aplicaciones de transporte como WhatsApp, Signal y los equipos de Microsoft al afirmar falsamente ser una persona prominente relevante para el objetivo en un Intento de producir confianza.
“Los ataques usan una técnica de phishing específica llamamiento ‘Phishing de código de dispositivo’ que engaña a los usuarios para iniciar sesión en aplicaciones de productividad, mientras que los actores de Storm-2372 capturan la información de los inicios de sesión (tokens) que pueden usar para aceptar a cuentas comprometidas”, el Microsoft La inteligencia de amenazas dijo en un nuevo documentación.
El objetivo es explotar los códigos de autenticación obtenidos a través de la técnica para aceptar a las cuentas objetivo, y el despotismo que accede a obtener datos confidenciales y permite el llegada persistente al entorno de la víctima siempre que los tokens sigan siendo válidos.
El superhombre tecnológico dijo que el ataque implica mandar correos electrónicos de phishing que se disfrazan de los equipos de Microsoft que cumplen con invitaciones que, cuando se hacen clic, instan a los destinatarios del mensaje a autenticarse utilizando un código de dispositivo generado por el actor de amenaza, lo que permite que el adversario secuestre la sesión autenticada utilizando el llegada válido el llegada válido simbólico.
“Durante el ataque, el actor de amenaza genera una solicitud de código de dispositivo permitido y engaña al objetivo para que lo ingrese en una página de inicio de sesión permitido”, explicó Microsoft. “Esto otorga llegada al actor y les permite capturar la autenticación, el llegada y la aggiornamento, los tokens que se generan, luego usan esos tokens para aceptar a las cuentas y datos del objetivo”.
Los tokens de autenticación phished se pueden usar para obtener llegada a otros servicios a los que el agraciado ya tiene permisos, como correo electrónico o almacenamiento en la abundancia, sin la carestia de una contraseña.
Microsoft dijo que la sesión válida se usa para moverse lateralmente adentro de la red enviando mensajes intraorganizacionales de phishing similares a otros usuarios desde la cuenta comprometida. Adicionalmente, el servicio Graph Microsoft se utiliza para inquirir en los mensajes de la cuenta violada.
“El actor de amenaza estaba utilizando la búsqueda de palabras esencia para ver mensajes que contienen palabras como nombre de agraciado, contraseña, administrador, equipo de equipo, AnyDesk, credenciales, secreto, servicio y gobierno”, dijo Redmond, y agregó los correos electrónicos que coinciden con estos criterios de filtro se exfiltraron a los Actor de amenaza.
Para mitigar el peligro planteado por dichos ataques, se recomiendan organizaciones para asediar el flujo del código del dispositivo siempre que sea posible, permiten la autenticación multifactor (MFA) resistente al phishing y siga el principio de pequeño privilegio.
Modernizar
En una aggiornamento compartida el 14 de febrero de 2025, Microsoft dijo que “observó el desplazamiento de Storm-2372 a usar la ID de cliente específica para el corredor de autenticación de Microsoft en el flujo de inicio de sesión del código del dispositivo”.
El uso de la ID del cliente, agregó, permite a los atacantes cobrar un token de aggiornamento que puede estar de moda para solicitar otro token para el servicio de registro de dispositivos, y luego registrar un dispositivo controlado por el actor adentro de END ID. El dispositivo conectado se usa para cosechar correos electrónicos.
“Con el mismo token de aggiornamento y la nueva identidad del dispositivo, Storm-2372 puede obtener un token de aggiornamento principal (PRT) y aceptar a los capital de una estructura”, dijo Microsoft. “Igualmente se ha observado que el actor usa proxies que son regionalmente apropiados para los objetivos, probablemente en un intento de ocultar aún más el signo sospechoso de la actividad”.
La firma de ciberseguridad Volexity dijo que ha observado al menos tres actores de amenaza rusos diferentes que realizan campañas de phishing de garrocha utilizando el enfoque del código del dispositivo para comprometer cuentas de Microsoft 365 desde mediados de enero de 2025.
Algunos de los correos electrónicos se han identificado como se envían desde cuentas que se hacen ocurrir por personas del Sección de Estado de los Estados Unidos, el Empleo de Defensa de Ucrania, el Parlamento de la Unión Europea y otras instituciones de investigación prominentes.
Se sospecha que uno de los grupos detrás de la actividad es Apt29, que todavía se conoce como BlueBravo, Ursa, Cozylarch, Cozy Cozy Bear, Midnight Blizzard (anteriormente Nobelio) y los Dukes. A los otros dos grupos se les ha asignado los apodos UTA0304 y UTA0307.
En un caso analizado por Volexity, UTA0304 se acercó primero a una víctima en la señal disfrazada como un funcionario del Empleo de Defensa de Ucrania, y luego los persuadió para que cambiaran la conversación a otra aplicación de chat segura llamamiento hábitat.
El atacante procedió a enviarles un correo electrónico de phishing de garrocha, indicando que necesitaban hacer clic en un enlace proporcionado en el mensaje para unirse a una sala de chat. Al hacer clic en el enlace, redirigió a la víctima a una página de Microsoft que solicita un código de dispositivo para “permitir el llegada”.
“El mensaje fue una estratagema para engañar al agraciado para que pensara que estaban siendo invitados a una conversación segura, cuando en existencia les estaban dando al atacante llegada a su cuenta”, dijeron Charlie Gardner de Volexity, Steven Adair y Tom Lancaster en un prospección.
“Los códigos de dispositivo generados solo son válidos durante 15 minutos una vez que se crean. Como resultado, la comunicación en tiempo existente con la víctima, y que esperan la ‘invitación’, sirvió para avalar que el PHISH tenga éxito a través de la coordinación oportuna.
Del mismo modo, se dice que Cozylarch y Uta0307 adoptaron una organización similar, instando a las víctimas a unirse a una reunión de equipos de Microsoft para obtener llegada no competente a la cuenta de Microsoft 365, seguido de exfiltrando documentos de interés.
“Junto a señalar que es posible que este sea el trabajo de un actor de una sola amenaza que ejecuta múltiples campañas”, dijeron los investigadores, y agregaron que se están rastreando por separado correcto a las diferencias en los componentes observados.
“Parece que estos actores de amenaza rusos han hecho un esfuerzo concertado para exhalar varias campañas contra las organizaciones con el objetivo de maltratar simultáneamente de este método antiguamente de que los objetivos se comprometan e implementen contramedidas”.
