Microsoft meminta perhatian pada cluster ancaman yang muncul yang disebutnya Storm-2372 Itu telah dikaitkan dengan serangkaian serangan cyber baru yang ditujukan untuk berbagai sektor sejak Agustus 2024.
Serangan telah menargetkan pemerintah, organisasi non-pemerintah (LSM), layanan dan teknologi dan teknologi teknologi informasi (TI), pertahanan, telekomunikasi, kesehatan, pendidikan tinggi, dan sektor energi/minyak dan gas di Eropa, Amerika Utara, Afrika, dan Tengah Timur.
Aktor ancaman, dinilai dengan keyakinan sedang untuk diselaraskan dengan kepentingan Rusia, viktimologi, dan tradecraft, telah diamati menargetkan pengguna melalui aplikasi pesan seperti whatsapp, sinyal, dan tim Microsoft dengan secara salah mengklaim sebagai orang terkemuka yang relevan dengan target dalam suatu suatu mencoba membangun kepercayaan.
“Serangan menggunakan teknik phishing spesifik yang disebut 'phishing kode perangkat' yang menipu pengguna untuk masuk ke aplikasi produktivitas sementara aktor Storm-2372 menangkap informasi dari login (token) yang dapat mereka gunakan untuk kemudian mengakses akun yang dikompromikan,” Microsoft Ancaman Intelijen mengatakan dalam laporan baru.
Tujuannya adalah untuk memanfaatkan kode otentikasi yang diperoleh melalui teknik untuk mengakses akun target, dan penyalahgunaan bahwa akses untuk mendapatkan data sensitif dan memungkinkan akses persisten ke lingkungan korban selama token tetap valid.
Raksasa teknologi itu mengatakan serangan itu melibatkan pengiriman email phishing yang menyamar sebagai tim Microsoft yang memenuhi undangan yang, ketika diklik, mendesak penerima pesan untuk mengotentikasi menggunakan kode perangkat yang dihasilkan aktor ancaman, sehingga memungkinkan musuh untuk membajak sesi yang diautentikasi menggunakan akses yang valid, akses yang valid, token.
“Selama serangan, aktor ancaman menghasilkan permintaan kode perangkat yang sah dan menipu target untuk memasukkannya ke halaman masuk yang sah,” Microsoft menjelaskan. “Ini memberikan akses aktor dan memungkinkan mereka untuk menangkap otentikasi – akses dan penyegaran – token yang dihasilkan, kemudian menggunakan token tersebut untuk mengakses akun dan data target.”
Token otentikasi phished kemudian dapat digunakan untuk mendapatkan akses ke layanan lain yang sudah dimiliki pengguna, seperti email atau penyimpanan cloud, tanpa perlu kata sandi.
Microsoft mengatakan sesi yang valid digunakan untuk bergerak secara lateral di dalam jaringan dengan mengirim pesan intra-organisasi phishing yang serupa ke pengguna lain dari akun yang dikompromikan. Selain itu, layanan Microsoft Graph digunakan untuk mencari melalui pesan dari akun yang dilanggar.
“Aktor ancaman sedang menggunakan kata kunci mencari untuk melihat pesan yang berisi kata -kata seperti nama pengguna, kata sandi, admin, timviewer, anydesk, kredensial, rahasia, pelayanan, dan pemerintah,” kata Redmond, menambahkan email yang cocok dengan kriteria filter ini kemudian dikeluarkan ke dalam aktor ancaman.
Untuk mengurangi risiko yang ditimbulkan oleh serangan seperti itu, organisasi disarankan untuk memblokir aliran kode perangkat sedapat mungkin, memungkinkan otentikasi multi-faktor tahan phishing (MFA), dan mengikuti prinsip hak istimewa yang paling sedikit.
