微軟發現,自去年夏天以來,一群俄羅斯海盜一直在攻擊Microsoft 365帳戶。海盜使用網絡釣魚消息鼓勵受害者單擊導致欺詐連接頁面的鏈接,他們輸入黑客提供的身份驗證代碼。
勒微軟威脅情報中心(MSTIC),負責監視計算機威脅的部門,表明它已經發現一幫俄羅斯海盜大規模攻擊Microsoft 365帳戶是一個由Code Name Storm-237提到的集團的一部分,這可能是俄羅斯的要求。
為了捕獲用戶,黑客依靠網絡釣魚消息。他們在WhatsApp,Signal甚至微軟團隊假裝是“一個重要且相關的人”為對話者。這是一種經典的策略,可以使受害者不信任睡眠。例如,他們假裝是專業的聯繫,邀請用戶參加視頻會議。
一次非常特殊的網絡釣魚攻擊
要參加會議,受害者將被邀請Microsoft團隊的會議通過單擊鏈接的好處。這是一個“合法連接頁”誰將從目標聲明授權代碼。確實,網絡釣魚站點將聲明代碼,而不是通常的連接標識符,例如密碼。在這種類型的進攻中,海盜使用提供的身份驗證系統限制進入外圍設備,沒有經典入口界面的設備,例如鍵盤或Web瀏覽器。我們特別認為電視或其他連接的對象。
對於這些設備,身份驗證而不是通過和另一個終端上的授權代碼。用戶沒有直接在設備上點擊密碼,而是在其他設備(例如智能手機或計算機)上輸入安全代碼,以證明其身份。在這種情況下,代碼是由黑客在邀請中直接提供的。通過利用此替代系統,網絡犯罪分子無需密碼就可以控制Microsoft帳戶。
“當目標單擊會議邀請時,請邀請他們使用攻擊者生成的設備代碼進行身份驗證。然後,攻擊者在用戶的交互後接收有效的訪問令牌,這使他可以竊取身份驗證的會話»,詳細信息Microsoft。
訪問延長到黑客帳戶
攻擊者可以使用身份驗證令牌偷來訪問其他服務,例如您的消息傳遞或在線存儲服務,而無需密碼。只要這些令牌仍然有效,攻擊者就會保留訪問權限。此外,海盜可以獲得主要的刷新令牌,這將使他能夠擴展訪問,通過抓住特定的客戶ID,獨特的身份用於Microsoft身份驗證過程。
在該團伙的特權目標中,我們發現“幾個地區的政府,非政府組織和廣泛的行業”人們,即北美,非洲和中東。 Microsoft建議組織可能會在黑客取景器中阻止授權代碼的使用。這種預防措施將防止黑客依靠系統來實現其目的。顯然,這是Microsoft Space的管理員的責任。
來源 : 微軟
