Een actieve campagne van een dreigingsactor die mogelijk aan Rusland is gelinkt, richt zich op Microsoft 365-accounts van individuen bij interessante organisaties met behulp van phishing met apparaatcodes.

De doelwitten bevinden zich in de overheid, NGO’s, IT-diensten en technologie, defensie, telecommunicatie, gezondheidszorg en energie-/olie- en gassectoren in Europa, Noord-Amerika, Afrika en het Midden-Oosten.

Het Microsoft Threat Intelligence Center volgt de dreigingsactoren achter de phishingcampagne met apparaatcode als ‘Storm-237’. Op basis van interesses, slachtofferschap en handelswijze hebben de onderzoekers een gemiddeld vertrouwen dat de activiteit verband houdt met een staatsoperatie die in lijn is met de belangen van Rusland.

Phishingaanvallen met apparaatcodes

Apparaten met beperkte invoermogelijkheden, die geen ondersteuning voor toetsenborden of browsers hebben, zoals smart-tv’s en sommige IoT-apparaten, vertrouwen op een authenticatiestroom met codes om gebruikers in staat te stellen in te loggen op een applicatie door een autorisatiecode in te voeren op een apart apparaat zoals een smartphone of computer.

Microsoft-onderzoekers ontdekten dat Storm-2372 sinds afgelopen augustus deze authenticatiestroom misbruikt door gebruikers te misleiden om door de aanvaller gegenereerde apparaatcodes in te voeren op legitieme inlogpagina’s.

De agenten initiëren de aanval nadat ze eerst contact met het doelwit hebben gelegd door zich “valselijk voor te doen als een prominente persoon die relevant is voor het doelwit” via berichtenplatforms zoals WhatsApp, Signal en Microsoft Teams.

De dreigingsactor bouwt geleidelijk een band op voordat hij een nep online vergaderuitnodiging via e-mail of bericht stuurt.

Volgens de onderzoekers ontvangt het slachtoffer een Teams-vergaderuitnodiging die een door de aanvaller gegenereerde apparaatcode bevat.

“De uitnodigingen verleiden de gebruiker om een authenticatieaanvraag met apparaatcode te voltooien die de ervaring van de berichtenservice nabootst, wat Storm-2372 aanvankelijke toegang tot slachtofferaccounts biedt en activiteiten voor het verzamelen van Graph API-gegevens zoals het oogsten van e-mails mogelijk maakt,” aldus Microsoft.

Dit geeft de hackers toegang tot de Microsoft-diensten van het slachtoffer (e-mail, cloudopslag) zonder een wachtwoord nodig te hebben, zolang de gestolen tokens geldig blijven.

Echter, Microsoft zegt dat de aanvaller nu de specifieke client-ID voor Microsoft Authentication Broker in de apparaatcode-inlogstroom gebruikt, wat hen in staat stelt om nieuwe tokens te genereren.

Dit opent nieuwe aanvalsmogelijkheden en persistentiemogelijkheden, aangezien de dreigingsactor de client-ID kan gebruiken om apparaten te registreren bij Entra ID, de cloudgebaseerde oplossing voor identiteits- en toegangsbeheer van Microsoft.

“Met dezelfde refresh-token en de nieuwe apparaatidentiteit is Storm-2372 in staat om een Primary Refresh Token (PRT) te verkrijgen en toegang te krijgen tot de middelen van een organisatie. We hebben waargenomen dat Storm-2372 het verbonden apparaat gebruikt om e-mails te verzamelen” – Microsoft

Verdedigen tegen Storm-2372

Om de phishingaanvallen met apparaatcodes van Storm-2372 tegen te gaan, stelt Microsoft voor om de apparaatcodestroom waar mogelijk te blokkeren en Conditional Access-beleidsregels in Microsoft Entra ID af te dwingen om het gebruik ervan te beperken tot vertrouwde apparaten of netwerken.

Als phishing met apparaatcodes wordt vermoed, trek dan onmiddellijk de refresh tokens van de gebruiker in met ‘revokeSignInSessions’ en stel een Conditional Access Policy in om opnieuw authenticatie van de getroffen gebruikers te eisen.

Gebruik tot slot de inloglogboeken van Microsoft Entra ID om hoge volumes authenticatiepogingen in korte tijd te monitoren en snel te identificeren, evenals apparaatcodelogins vanaf niet-herkende IP’s en onverwachte verzoeken om apparaatcodeauthenticatie die naar meerdere gebruikers worden verzonden.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----