在一次復(fù)雜的網(wǎng)絡(luò)攻擊活動(dòng)中，代號(hào)為Storm-2372的黑客利用Microsoft Teams會(huì)議邀請(qǐng)實(shí)施“設(shè)備代碼釣魚(yú)”攻擊。

自2024年8月以來(lái)，該攻擊活動(dòng)已針對(duì)歐洲、北美、非洲和中東的政府、非政府組織、IT服務(wù)、國(guó)防、電信、醫(yī)療、教育和能源等領(lǐng)域。微軟威脅情報(bào)中心（MSTIC）認(rèn)為，Storm-2372與俄羅斯的利益和手法高度吻合，評(píng)估為中等可信度。

設(shè)備代碼釣魚(yú)的工作原理

設(shè)備代碼釣魚(yú)利用了OAuth 2.0設(shè)備授權(quán)流程（RFC 8628），該機(jī)制專(zhuān)為輸入受限的設(shè)備（如物聯(lián)網(wǎng)系統(tǒng)或智能電視）設(shè)計(jì)。在正常的場(chǎng)景中，用戶(hù)通過(guò)在其他設(shè)備上輸入設(shè)備代碼來(lái)完成身份驗(yàn)證。Storm-2372通過(guò)操縱該流程竊取認(rèn)證令牌。

攻擊開(kāi)始時(shí)，Storm-2372通過(guò)Microsoft的API生成合法的設(shè)備代碼請(qǐng)求，隨后發(fā)送偽裝成Microsoft Teams會(huì)議邀請(qǐng)的釣魚(yú)郵件。

設(shè)備代碼釣魚(yú)攻擊流程

這些郵件誘使受害者在Microsoft的合法登錄頁(yè)面上輸入設(shè)備代碼。一旦受害者完成身份驗(yàn)證，攻擊者便攔截生成的訪(fǎng)問(wèn)令牌和刷新令牌。通過(guò)這些令牌，攻擊者無(wú)需密碼或多因素認(rèn)證（MFA）即可持續(xù)訪(fǎng)問(wèn)受害者的賬戶(hù)，只要令牌保持有效。

攻擊的技術(shù)細(xì)節(jié)

Storm-2372通過(guò)WhatsApp、Signal或Microsoft Teams等即時(shí)通訊應(yīng)用冒充目標(biāo)對(duì)象的相關(guān)重要人物建立聯(lián)系。在取得信任后，他們通過(guò)電子郵件發(fā)送虛假的Teams會(huì)議邀請(qǐng)。

攻擊者冒充重要角色并在Signal上建立聯(lián)系

隨后，受害者被誘導(dǎo)在合法的Microsoft登錄頁(yè)面上輸入攻擊者生成的設(shè)備代碼。攻擊者監(jiān)控API以獲取令牌生成，并在認(rèn)證完成后獲取訪(fǎng)問(wèn)令牌。

釣魚(yú)活動(dòng)中使用的誘餌

攻擊者使用有效的令牌訪(fǎng)問(wèn)Microsoft Graph API收集數(shù)據(jù)，搜索包含“密碼”“管理員”或“憑據(jù)”等敏感關(guān)鍵詞的郵件并竊取數(shù)據(jù)。

微軟表示：“威脅行為者使用關(guān)鍵詞搜索查看包含‘用戶(hù)名’‘密碼’‘管理員’‘TeamViewer’‘AnyDesk’‘憑據(jù)’‘機(jī)密’‘部委’和‘政府’等詞的消息?！彼麄冞€利用被入侵的賬戶(hù)發(fā)送內(nèi)部釣魚(yú)郵件以進(jìn)一步傳播攻擊。

目前，Storm-2372已調(diào)整策略，通過(guò)在設(shè)備代碼流程中使用Microsoft Authentication Broker的客戶(hù)端ID來(lái)獲取主刷新令牌（PRT）并在Entra ID環(huán)境中注冊(cè)受攻擊者控制的設(shè)備，從而實(shí)現(xiàn)長(zhǎng)期持續(xù)性。

防御策略

微軟建議采取以下措施防范此類(lèi)攻擊：

• 除非絕對(duì)必要，否則阻止使用該認(rèn)證方法。
• 培訓(xùn)員工識(shí)別釣魚(yú)攻擊，并在登錄時(shí)驗(yàn)證應(yīng)用程序提示。
• 如檢測(cè)到可疑活動(dòng)，使用revokeSignInSessions撤銷(xiāo)用戶(hù)的刷新令牌。
• 強(qiáng)制執(zhí)行MFA，并根據(jù)用戶(hù)行為阻止高風(fēng)險(xiǎn)登錄。
• 采用FIDO令牌或Passkeys替代基于短信的MFA。
• 將本地目錄與云端目錄集成，以便更好地監(jiān)控和響應(yīng)。

Microsoft Defender for Office 365提供了與釣魚(yú)活動(dòng)相關(guān)的警報(bào)，例如帶有釣魚(yú)特征的郵件和模仿登錄頁(yè)面的惡意HTML文件。此外，Entra ID Protection還能檢測(cè)異常行為，如來(lái)自匿名IP地址的活動(dòng)或異常的令牌使用模式。