Microsoft yabancı bir avuç silah ortaya çıkardı. Storm-2372, erişim belirteçlerini Microsoft Teams aracılığıyla çalıyor. Grup, Rusya’yla ilişkilendiriliyor ve orta düzeyde güvenilirlikle hareket ediyor.

Avrupa, Kuzey Amerika, Afrika ve Orta Doğu’daki hükümetleri, STK’ları ve diğer endüstrileri hedefleyen yeni bir dolandırıcılık kampanyası keşfedildi. Microsoft tarafından fark edilen saldırı, kurbanın saldırgan tarafından oluşturulan bir cihaz kodunu girmesi için Teams video konferans toplantısı davetiyelerini kullanan “cihaz kodu avı”nı kullanıyor. Bu da kurbanın geçerli erişim belirteçlerini vermesine neden olarak saldırganın kurbanın e-postalarına ve hassas verilere erişim sağlamasına olanak tanıyor.

Microsoft, Storm-2372 olarak izlenen grubun, Rus taktik ve çıkarları doğrultusunda hareket ettiğini orta düzeyde bir güvenle değerlendiriyor. Veri hırsızlığı ve yan hareketler ile ilgili olarak, tehdit aktörü öncelikle WhatsApp, Signal ve Microsoft Teams gibi mesajlaşma hizmetleri aracılığıyla kurbanla ilişki kuracak ve kendisini kurbanın endüstrisinde önemli bir figür olarak konumlandıracak. Saldırgan daha sonra kurbanı çevrim içi bir toplantıya davet edecek ve kurbanı cihaz kodu doğrulama isteğini tamamlamaya zorlayacaktır.

Saldırgana, erişim ve yenileme belirteçlerini yakalamak için gerçek bir cihaz kodu doğrulama isteği oluşturup kodu kurbanın gerçek doğrulama hizmeti sayfasına girmesine izin verilecektir. Ardından saldırgan, güncel erişim belirteçlerini kullanarak yanal hareket etmeye çalışacaktır ve mesajlaşma hizmetinde hassas verileri toplamak için anahtar kelime aramasını kullanacaktır. Saldırgan, kompromize edilmiş hesabı meslektaşlarına ek dolandırıcılık mesajları göndermek için de kullanabilir.

Storm-2372’nin, Microsoft Authentication Broker için belirli bir istemci kimliği kullanarak ek belirteçler talep etme ve kimlik doğrulama cihazı olarak kendi cihazlarını kaydetme eylemleri gözlemlenmiştir. Storm-2372 tarafından kullanılan özel saldırı vektörüne karşı korunmak için Microsoft, cihaz kodu akışının mümkün olduğunca devre dışı bırakılmasını, tüm kullanıcılara dolandırıcılık eğitimi verilmesini ve Storm-2372 etkinliği şüphelenildiğinde erişim belirteçlerini iptal etmeyi önermektedir. Ayrıca yüksek riskli girişler için erişimi engelleme veya çok faktörlü kimlik doğrulamayı zorunlu kılan bir giriş riske dayalı politika uygulanmasını tavsiye etmektedir.