Специалисты из Microsoft обнаружили, что группа хакеров под названием Storm-2372 проводит большую атаку, целью которой является взлом учетных записей Microsoft 365.
Эти атаки направлены на государственные организации, некоммерческие организации, IT-компании, оборонные предприятия, телекоммуникационные и энергетические компании, а также на сферу здравоохранения в Европе, Северной Америке, Африке и на Ближнем Востоке. Особенностью этой кампании является использование фишинга с кодами устройств, что позволяет хакерам обойти обычные методы проверки личности.
Хакеры используют метод социальной инженерии, выдавая себя за важных людей, чтобы установить контакт с жертвой через мессенджеры, такие как WhatsApp, Signal или Microsoft Teams. Злоумышленники отправляют фальшивые приглашения на онлайн-встречу с кодом доступа. Жертва вводит этот код на странице авторизации Microsoft, и злоумышленники получают доступ к её учетной записи.
Это позволяет им просматривать электронные письма, файлы и другие данные без необходимости пароля. Группа Storm-2372 также использует Microsoft Graph API для поиска ключевых слов в компрометированных почтовых ящиках и массовой кражи важных сообщений.
Microsoft заметила, что хакеры начали использовать идентификатор клиента Microsoft Authentication Broker для генерации новых токенов доступа, что позволяет им оставаться в сети и продолжать атаки.
Для защиты от таких атак Microsoft рекомендует организациям принять дополнительные меры безопасности и быть внимательными к попыткам взлома. Пользователям также следует быть осторожными при вводе кодов аутентификации и использовать только официальные каналы. Microsoft продолжает следить за деятельностью группы Storm-2372 и предупреждать организации об опасностях.
Эксперты из Microsoft отмечают, что фишинг с кодами устройств является новой угрозой, которая требует большего контроля и мониторинга в корпоративных сетях.
Конференции в Microsoft 365: новый способ кражи данных
