俄羅斯國家支持的APT組織Storm-2372近期發起了一場復雜的網絡攻擊活動，利用設備碼釣魚（Device Code Phishing）技術繞過多因素認證（MFA）安全措施。

這種針對性攻擊手段標志著威脅行為者通過社會工程學突破高級安全系統的能力顯著提升，攻擊者可以在不觸發傳統安全警報的情況下，未經授權訪問高價值目標。

全球范圍的攻擊目標

該攻擊活動主要針對政府機構、科技公司、金融機構、國防承包商、醫療機構和媒體組織等多個領域內擁有重要數據和戰略影響力的機構。

研究人員已在美國、烏克蘭、英國、德國、加拿大和澳大利亞等多個國家發現了這些攻擊的數字證據，表明該行動具有全球性影響。

設備碼釣魚技術原理

設備碼釣魚技術利用了一種原本旨在簡化輸入能力有限設備登錄流程的合法認證方法。在此類攻擊中，受害者會收到看似真實的釣魚信息，這些信息會將他們引導至真實的認證門戶網站，在攻擊者幕后操作的同時制造虛假的安全感。

SOCRadar研究人員指出，這種攻擊方法特別危險，因為它利用了受信任的認證工作流程，而不是試圖創建登錄頁面的仿冒副本。通過利用實際的OAuth設備授權流程，攻擊者可以繞過那些專門檢測偽造登錄頁面的傳統釣魚檢測系統。

攻擊流程始于網絡犯罪分子通過電子郵件或短信發送包含緊急認證請求的釣魚信息。

設備碼釣魚攻擊流程（來源：SOCRadar）

這些信息會將目標引導至微軟設備碼門戶等真實登錄頁面，受害者被要求輸入攻擊者生成的代碼。一旦輸入代碼，攻擊者就能在不觸發標準MFA驗證的情況下，持續訪問受害者的企業賬戶。

設備碼釣魚機制技術分析

設備碼釣魚攻擊利用了OAuth 2.0設備授權授予流程，該流程原本旨在幫助用戶在輸入能力有限的設備上進行身份驗證。在合法實施時，該流程允許用戶在單獨的設備上進行身份驗證，然后使用代碼授權原始設備的訪問權限。

然而，Storm-2372通過控制授權端點反轉了這一流程。在典型攻擊場景中，威脅行為者向微軟等合法服務發起OAuth授權請求。服務生成設備代碼和用戶代碼以及驗證URL。攻擊者不是將這些用于合法目的，而是通過釣魚信息將用戶代碼轉發給受害者。

當受害者訪問真實的驗證URL并輸入提供的代碼時，他們無意中授權了攻擊者的會話。這種攻擊特別有效的原因是它不需要攻擊者創建虛假登錄頁面或直接竊取憑據。在整個過程中，受害者都與真實的認證門戶進行交互，這使得傳統的釣魚檢測方法失效。

此外，一旦攻擊者獲得認證令牌，在許多配置中他們可以無限期刷新令牌，即使在密碼更改后也能保持持續訪問權限。

防御建議

為防范這些復雜攻擊，網絡安全專業人員應采取以下措施：

• 實施基于設備合規性和地理位置限制認證的條件訪問策略
• 定期審核OAuth令牌請求
• 部署使用FIDO2安全密鑰而非基于短信驗證的防釣魚MFA解決方案
• 開展全面的安全意識培訓，特別關注這些新興威脅