Российские хакеры заметили в атаках на Microsoft Teams с новой кампанией фишинга

Компания Microsoft выявила новую векторную атаку фишинга, известную как Storm-2372. Эта группа использует приложение Microsoft Teams для кражи доступных токенов у пользователей и получает доступ к их электронной почте и конфиденциальным данным.

Microsoft с определенной уверенностью связывает эту группу с Россией. Атака направлена на правительственные учреждения, НПО и другие отрасли в Европе, Северной Америке, Африке и Ближнем Востоке.

В процессе атаки злоумышленник использует приглашения на видеосовещания через Microsoft Teams. Жертве предлагается ввести код, сгенерированный атакующим, что приводит к передаче действительных токенов доступа.

Анализируя поведение группы Storm-2372, Microsoft определила следующий механизм атаки:

1. Злоумышленники сначала налаживают контакт с жертвой через такие мессенджеры как WhatsApp, Signal и Microsoft Teams, позиционируя себя важными фигурами в отрасли.
2. Далее злоумышленник приглашает жертву на онлайн-встречу, где ей предлагается выполнить аутентификацию по коду устройства.
3. Атакующий генерирует действительный запрос для проверки кода и отправляет его жертве.
4. Жертва вводит этот код на странице legitimate authentication service page, что позволяет злоумышленнику захватить доступные токены.

После получения этих данных атакующий может перемещаться по сети, используя ключевые слова для сбора конфиденциальной информации, таких как имена пользователей, пароли, данные административных учетных записей, TeamViewer, AnyDesk, секретные данные, министерства и госучреждения.

Злоумышленники также могут использовать зараженные аккаунты для отправки дополнительных фишинговых сообщений коллегам. Группа Storm-2372 была замечена в использовании специального client ID для Microsoft Authentication Broker, чтобы запросить дополнительные токены и регистрировать свои устройства как устройство аутентификации через Entra ID.

Для защиты от этой атаки, Microsoft рекомендует:

• Отключить функцию device code flow там, где это возможно.
• Провести обучение по фишингу для всех пользователей.
• Аннулировать доступные токены при подозрении на активность Storm-2372 с помощью revokeSignInSessions.
• Ввести политику, блокирующую доступ или требующую двухфакторную аутентификацию для высокорисковых входов.

Полный список мер защиты и снижения риска можно найти по этой ссылке.