Storm-2372: конференции в Microsoft 365 стали инструментом кражи гостайны

Специалисты Microsoft обнаружили , что группировка Storm-2372 ведёт масштабную фишинговую кампанию, направленную на взлом учетных записей Microsoft 365.

Атаки ориентированы на госорганизации, НПО, IT-компании, оборонные предприятия, телекоммуникационные и энергетические секторы, а также сферу здравоохранения в Европе, Северной Америке, Африке и на Ближнем Востоке. Главной особенностью кампании является использование техники фишинга с кодами устройств, что позволяет злоумышленникам обходить традиционные методы аутентификации.

Хакеры используют тактику социальной инженерии, выдавая себя за влиятельных лиц, чтобы установить доверительный контакт с жертвой через WhatsApp, Signal или Microsoft Teams. Злоумышленник отправляет жертве поддельное приглашение на онлайн-встречу с заранее сгенерированным кодом для входа. Затем жертва вводит код на официальной странице авторизации Microsoft, а киберпреступники получают действительный токен доступа.

Злоумышленники связываются с жертвой в мессенджере (Microsoft)

В результате атакующие получают доступ к учетным записям Microsoft 365 без необходимости ввода пароля. Это позволяет извлекать электронные письма, файлы из облака и другие корпоративные данные, пока украденные токены остаются действительными.

Группа Storm-2372 также задействует Microsoft Graph API, проводя поиск по компрометированным почтовым ящикам с использованием ключевых слов: «пароль», «администратор», «TeamViewer», «AnyDesk», «учетные данные», «секрет», «министерство», «gov». После выявления важных сообщений происходит их массовая эксфильтрация.

Microsoft также зафиксировала новую фазу атаки: злоумышленники начали использовать идентификатор клиента Microsoft Authentication Broker, что позволяет генерировать новые токены доступа. Это открывает возможности для устойчивого присутствия и дальнейших действий в сети, включая регистрацию новых устройств в Entra ID.

Цепочка атаки Storm-2372 (Microsoft)

Microsoft рекомендует организациям предпринять следующие меры для предотвращения компрометации:

• Отключить аутентификацию по коду устройства, если это возможно.
• Использовать политики Conditional Access в Entra ID, чтобы ограничить доступ только доверенным устройствам или сетям.
• Немедленно отозвать украденные токены, если есть подозрение на фишинговую атаку, используя команду revokeSignInSessions.
• Ввести дополнительные требования к повторной аутентификации для подозрительных пользователей.
• Мониторить аномальную активность в Entra ID, обращая внимание на всплески попыток входа, логины с неизвестных IP-адресов и неожиданные запросы кода устройства.

Кроме того, пользователям рекомендуется быть внимательными к входам на незнакомых устройствах и избегать ввода кодов аутентификации вне официальных каналов. Microsoft продолжает мониторинг деятельности Storm-2372 и уведомляет организации о возможных компрометациях.

Специалисты Microsoft подчеркивают, что фишинг с использованием кодов устройств — новая угроза , которая требует более строгого контроля доступа и постоянного мониторинга аутентификационных событий в корпоративных сетях.