在一次復(fù)雜的網(wǎng)絡(luò)攻擊活動中，代號為Storm-2372的黑客利用Microsoft Teams會議邀請實施“設(shè)備代碼釣魚”攻擊。

自2024年8月以來，該攻擊活動已針對歐洲、北美、非洲和中東的政府、非政府組織、IT服務(wù)、國防、電信、醫(yī)療、教育和能源等領(lǐng)域。微軟威脅情報中心（MSTIC）認(rèn)為，Storm-2372與俄羅斯的利益和手法高度吻合，評估為中等可信度。

設(shè)備代碼釣魚的工作原理

設(shè)備代碼釣魚利用了OAuth 2.0設(shè)備授權(quán)流程（RFC 8628），該機制專為輸入受限的設(shè)備（如物聯(lián)網(wǎng)系統(tǒng)或智能電視）設(shè)計。在正常的場景中，用戶通過在其他設(shè)備上輸入設(shè)備代碼來完成身份驗證。Storm-2372通過操縱該流程竊取認(rèn)證令牌。

攻擊開始時，Storm-2372通過Microsoft的API生成合法的設(shè)備代碼請求，隨后發(fā)送偽裝成Microsoft Teams會議邀請的釣魚郵件。

設(shè)備代碼釣魚攻擊流程

這些郵件誘使受害者在Microsoft的合法登錄頁面上輸入設(shè)備代碼。一旦受害者完成身份驗證，攻擊者便攔截生成的訪問令牌和刷新令牌。通過這些令牌，攻擊者無需密碼或多因素認(rèn)證（MFA）即可持續(xù)訪問受害者的賬戶，只要令牌保持有效。

攻擊的技術(shù)細(xì)節(jié)

Storm-2372通過WhatsApp、Signal或Microsoft Teams等即時通訊應(yīng)用冒充目標(biāo)對象的相關(guān)重要人物建立聯(lián)系。在取得信任后，他們通過電子郵件發(fā)送虛假的Teams會議邀請。

攻擊者冒充重要角色并在Signal上建立聯(lián)系

隨后，受害者被誘導(dǎo)在合法的Microsoft登錄頁面上輸入攻擊者生成的設(shè)備代碼。攻擊者監(jiān)控API以獲取令牌生成，并在認(rèn)證完成后獲取訪問令牌。

釣魚活動中使用的誘餌

攻擊者使用有效的令牌訪問Microsoft Graph API收集數(shù)據(jù)，搜索包含“密碼”“管理員”或“憑據(jù)”等敏感關(guān)鍵詞的郵件并竊取數(shù)據(jù)。

微軟表示：“威脅行為者使用關(guān)鍵詞搜索查看包含‘用戶名’‘密碼’‘管理員’‘TeamViewer’‘AnyDesk’‘憑據(jù)’‘機密’‘部委’和‘政府’等詞的消息。”他們還利用被入侵的賬戶發(fā)送內(nèi)部釣魚郵件以進(jìn)一步傳播攻擊。

目前，Storm-2372已調(diào)整策略，通過在設(shè)備代碼流程中使用Microsoft Authentication Broker的客戶端ID來獲取主刷新令牌（PRT）并在Entra ID環(huán)境中注冊受攻擊者控制的設(shè)備，從而實現(xiàn)長期持續(xù)性。

防御策略

微軟建議采取以下措施防范此類攻擊：

• 除非絕對必要，否則阻止使用該認(rèn)證方法。
• 培訓(xùn)員工識別釣魚攻擊，并在登錄時驗證應(yīng)用程序提示。
• 如檢測到可疑活動，使用revokeSignInSessions撤銷用戶的刷新令牌。
• 強制執(zhí)行MFA，并根據(jù)用戶行為阻止高風(fēng)險登錄。
• 采用FIDO令牌或Passkeys替代基于短信的MFA。
• 將本地目錄與云端目錄集成，以便更好地監(jiān)控和響應(yīng)。

Microsoft Defender for Office 365提供了與釣魚活動相關(guān)的警報，例如帶有釣魚特征的郵件和模仿登錄頁面的惡意HTML文件。此外，Entra ID Protection還能檢測異常行為，如來自匿名IP地址的活動或異常的令牌使用模式。