微软发现,自去年夏天以来,一群俄罗斯海盗一直在攻击Microsoft 365帐户。海盗使用网络钓鱼消息鼓励受害者单击导致欺诈连接页面的链接,他们输入黑客提供的身份验证代码。
勒微软威胁情报中心(MSTIC),负责监视计算机威胁的部门,表明它已经发现一帮俄罗斯海盗大规模攻击Microsoft 365帐户是一个由Code Name Storm-237提到的集团的一部分,这可能是俄罗斯的要求。
为了捕获用户,黑客依靠网络钓鱼消息。他们在WhatsApp,Signal甚至微软团队假装是“一个重要且相关的人”为对话者。这是一种经典的策略,可以使受害者不信任睡眠。例如,他们假装是专业的联系,邀请用户参加视频会议。
一次非常特殊的网络钓鱼攻击
要参加会议,受害者将被邀请Microsoft团队的会议通过单击链接的好处。这是一个“合法连接页”谁将从目标声明授权代码。确实,网络钓鱼站点将声明代码,而不是通常的连接标识符,例如密码。在这种类型的进攻中,海盗使用提供的身份验证系统限制进入外围设备,没有经典入口界面的设备,例如键盘或Web浏览器。我们特别认为电视或其他连接的对象。
对于这些设备,身份验证而不是通过和另一个终端上的授权代码。用户没有直接在设备上点击密码,而是在其他设备(例如智能手机或计算机)上输入安全代码,以证明其身份。在这种情况下,代码是由黑客在邀请中直接提供的。通过利用此替代系统,网络犯罪分子无需密码就可以控制Microsoft帐户。
“当目标单击会议邀请时,请邀请他们使用攻击者生成的设备代码进行身份验证。然后,攻击者在用户的交互后接收有效的访问令牌,这使他可以窃取身份验证的会话»,详细信息Microsoft。
访问延长到黑客帐户
攻击者可以使用身份验证令牌偷来访问其他服务,例如您的消息传递或在线存储服务,而无需密码。只要这些令牌仍然有效,攻击者就会保留访问权限。此外,海盗可以获得主要的刷新令牌,这将使他能够扩展访问,通过抓住特定的客户ID,独特的身份用于Microsoft身份验证过程。
在该团伙的特权目标中,我们发现“几个地区的政府,非政府组织和广泛的行业”人们,即北美,非洲和中东。 Microsoft建议组织可能会在黑客取景器中阻止授权代码的使用。这种预防措施将防止黑客依靠系统来实现其目的。显然,这是Microsoft Space的管理员的责任。
来源 : 微软
