A Microsoft está chamando a atenção para um novo agrupamento de ameaças que ela denomina Storm-2372, atribuído a um novo conjunto de ataques cibernéticos direcionados a uma variedade de setores desde agosto de 2024.
Esses ataques visaram governos, organizações não governamentais (ONGs), serviços de tecnologia da informação (TI) e tecnologia, defesa, telecomunicações, saúde, educação superior e os setores de energia/petróleo e gás na Europa, América do Norte, África e Oriente Médio.
O ator de ameaça, avaliado com média confiança de estar alinhado com os interesses russos, vítimologia e tradecraft, foi observado mirando usuários por meio de aplicativos de mensagens como WhatsApp, Signal e Microsoft Teams, alegando falsamente ser uma pessoa proeminente relevante ao alvo numa tentativa de construir confiança.
"Os ataques utilizam uma técnica de phishing específica chamada 'device code phishing' que engana os usuários a fazerem logon em aplicativos de produtividade enquanto os atores do Storm-2372 capturam as informações do logon (tokens) que eles podem usar para acessar contas comprometidas", disse a Microsoft Threat Intelligence em um novo relatório.
O objetivo é utilizar os códigos de autenticação obtidos por meio da técnica para acessar contas alvo e abusar desse acesso para obter dados sensíveis e permitir acesso persistente ao ambiente da vítima enquanto os tokens permanecerem válidos.
O gigante da tecnologia disse que o ataque envolve o envio de e-mails de phishing que se disfarçam de convites para reuniões do Microsoft Teams que, ao serem clicados, instam os destinatários da mensagem a se autenticar usando um código de dispositivo gerado pelo ator de ameaça, permitindo assim que o adversário sequestre a sessão autenticada usando o token de acesso válido.
"Durante o ataque, o ator de ameaça gera uma solicitação legítima de código de dispositivo e engana o alvo para inseri-lo em uma página legítima de login", explicou a Microsoft.
Isso concede ao ator acesso e permite que capturem os tokens de autenticação — acesso e atualização — que são gerados, depois usam esses tokens para acessar as contas e dados do alvo. Os tokens de autenticação furtados podem então ser usados para ganhar acesso a outros serviços aos quais o usuário já tem permissões, como e-mail ou armazenamento em nuvem, sem a necessidade de uma senha.
A Microsoft disse que a sessão válida é usada para mover-se lateralmente dentro da rede enviando mensagens intra-organizacionais de phishing semelhantes para outros usuários a partir da conta comprometida.
Além disso, o serviço Microsoft Graph é usado para pesquisar por mensagens da conta violada.
"O ator de ameaças estava usando a pesquisa por palavras-chave para visualizar mensagens contendo palavras como nome de usuário, senha, administrador, teamviewer, anydesk, credenciais, segredo, ministério e gov", disse Redmond, acrescentando que os e-mails que correspondem a esses critérios de filtro foram então exfiltrados para o ator de ameaça.
Para mitigar o risco apresentado por tais ataques, recomenda-se que as organizações bloqueiem o fluxo de código de dispositivo sempre que possível, habilitem autenticação multifator (MFA) resistente a phishing e sigam o princípio de menor privilégio.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...