هکرهای روسی از “فیشینگ کد دستگاه” برای سرقت حساب ها استفاده می کنند

مایکروسافت هشدار داده است که هکرهای مرتبط با روسیه از تکنیک “فیشینگ کد دستگاه” برای سرقت حساب‌ها استفاده می‌کنند. این حملات از آگوست ۲۰۲۴ آغاز شده و بخش‌های مختلفی از جمله دولتی، غیردولتی، فناوری اطلاعات، دفاع، مخابرات، بهداشت، آموزش عالی و انرژی را در اروپا، آمریکای شمالی، آفریقا و خاورمیانه هدف قرار داده است.

فیشینگ و سرقت حساب ها توسط هکرهای روسی

به گزارش بخش امنیت زوم تک از The Hacker News، مایکروسافت توجه را به یک گروه تهدید نوظهور به نام Storm-2372 جلب می‌کند که به مجموعه‌ای جدید از حملات سایبری که از آگوست 2024 آغاز شده‌اند و بخش‌های مختلفی را هدف قرار داده‌اند، نسبت داده می‌شود.

این حملات، سازمان‌های دولتی، غیردولتی (NGOها)، خدمات و فناوری اطلاعات (IT)، دفاع، مخابرات، بهداشت، آموزش عالی و بخش‌های انرژی/نفت و گاز را در اروپا, آمریکای شمالی, آفریقا و خاورمیانه هدف قرار داده است.

این بازیگر تهدید، که با اطمینان متوسط ​​با منافع روسیه، قربانی‌شناسی و ترفند مرتبط ارزیابی می‌شود، از طریق برنامه‌های پیام‌رسان مانند WhatsApp، Signal و Microsoft Teams، کاربران را هدف قرار داده است و به دروغ ادعا می‌کند که فرد برجسته‌ای مرتبط با هدف است تا اعتماد ایجاد کند.

مایکروسافت Threat Intelligence در گزارش جدیدی گفت: “این حملات از یک تکنیک فیشینگ خاص به نام “فیشینگ کد دستگاه” استفاده می‌کنند که کاربران را فریب می‌دهد تا وارد برنامه‌های بهره‌وری شوند در حالی که بازیگران Storm-2372 اطلاعات ورود (توکن‌ها) را که می‌توانند از آنها برای دسترسی به حساب‌های به خطر افتاده استفاده کنند، ثبت می‌کنند.”

هدف، استفاده از کدهای احراز هویتی است که از طریق این تکنیک به دست آمده است تا به حساب‌های هدف دسترسی پیدا کنند و از آن دسترسی برای به دست آوردن داده‌های حساس و فعال کردن دسترسی مداوم به محیط قربانی تا زمانی که توکن‌ها معتبر هستند، سوء استفاده کنند.

این غول فناوری گفت که این حمله شامل ارسال ایمیل‌های فیشینگ است که به عنوان دعوت‌نامه‌های جلسه Microsoft Teams مبدل می‌شوند که وقتی روی آنها کلیک می‌شود، گیرندگان پیام را ترغیب می‌کنند تا با استفاده از یک کد دستگاه تولید شده توسط بازیگر تهدید، احراز هویت کنند و در نتیجه به مهاجم اجازه می‌دهد جلسه احراز هویت شده را با استفاده از توکن دسترسی معتبر برباید.

مایکروسافت توضیح داد: “در طول حمله، بازیگر تهدید یک درخواست کد دستگاه قانونی ایجاد می‌کند و هدف را فریب می‌دهد تا آن را در یک صفحه ورود قانونی وارد کند.” “این کار به بازیگر اجازه دسترسی می‌دهد و آنها را قادر می‌سازد تا توکن‌های احراز هویت – دسترسی و تازه‌سازی – تولید شده را ثبت کنند، سپس از آن توکن‌ها برای دسترسی به حساب‌ها و داده‌های هدف استفاده کنند.”

سپس توکن‌های احراز هویت فیشینگ شده می‌توانند برای دسترسی به سایر سرویس‌هایی که کاربر قبلاً مجوز دسترسی به آنها را دارد، مانند ایمیل یا ذخیره‌سازی ابری، بدون نیاز به رمز عبور استفاده شوند.

مایکروسافت گفت که جلسه معتبر برای حرکت جانبی در شبکه با ارسال پیام‌های فیشینگ درون سازمانی مشابه به سایر کاربران از حساب به خطر افتاده استفاده می‌شود. علاوه بر این، سرویس Microsoft Graph برای جستجوی پیام‌های حساب نقض شده استفاده می‌شود.

Redmond گفت: “بازیگر تهدید از جستجوی کلمات کلیدی برای مشاهده پیام‌های حاوی کلماتی مانند نام کاربری، رمز عبور، مدیر، teamviewer، anydesk، اعتبارنامه، راز، وزارتخانه و gov استفاده می‌کرد.” و افزود که ایمیل‌های مطابق با این معیارهای فیلتر سپس به بازیگر تهدید ارسال می‌شدند.

برای کاهش خطرات ناشی از چنین حملاتی، به سازمان‌ها توصیه می‌شود که جریان کد دستگاه را در هر کجا که ممکن است مسدود کنند، احراز هویت چند عاملی مقاوم در برابر فیشینگ (MFA) را فعال کنند و اصل کمترین امتیاز را دنبال کنند.