14 février 2025Ravie LakshmananSécurité d’entreprise / cyberattaque

Microsoft attire l’attention sur un cluster de menaces émergent qu’il appelle Storm-2372 Cela a été attribué à un nouvel ensemble de cyberattaques visant une variété de secteurs depuis août 2024.

Les attaques ont ciblé le gouvernement, les organisations non gouvernementales (ONG), les services de technologie de l’information (TI) et la technologie, la défense, les télécommunications, la santé, l’enseignement supérieur et les secteurs énergétique / pétrolier et gazier en Europe, en Amérique du Nord, en Afrique et au milieu Est.

L’acteur de menace, évalué avec une confiance moyenne pour être aligné sur les intérêts russes, la victimologie et les métiers, a été observé ciblant les utilisateurs via des applications de messagerie comme WhatsApp, Signal et Microsoft Teams en prétendant faussement être une personne importante pertinente pour la cible dans une tenter de renforcer la confiance.

Cybersécurité

“Les attaques utilisent une technique de phishing spécifique appelée« Phishing de code de périphérique »qui trompe les utilisateurs pour se connecter aux applications de productivité tandis que les acteurs Storm-2372 capturent les informations de la connexion (jetons) qu’ils peuvent utiliser pour ensuite accéder à des comptes compromis», le Microsoft Intelligence de menace dit Dans un nouveau rapport.

L’objectif est de tirer parti des codes d’authentification obtenus via la technique pour accéder à des comptes cibles et de maltraiter cet accès pour obtenir des données sensibles et permettre un accès persistant à l’environnement de la victime tant que les jetons restent valides.

Le géant de la technologie a déclaré que l’attaque consiste à envoyer des e-mails de phishing qui se sont masqués en tant qu’équipes Microsoft en rencontrant des invitations qui, lorsqu’ils cliquaient, exhorte les destinataires du message à s’authentifier en utilisant un code d’appareil généré par l’acteur de menace, permettant ainsi à l’adversaire de détourner la session authentifiée en utilisant l’accès valide valide jeton.

pic de code de périphérique

“Pendant l’attaque, l’acteur de menace génère une demande de code de périphérique légitime et trompe la cible pour l’entrer dans une page de connexion légitime”, a expliqué Microsoft. “Cela accorde l’accès à l’acteur et leur permet de capturer l’authentification – l’accès et la rafraîchissement – des tokens générés, puis utilisez ces jetons pour accéder aux comptes et aux données de la cible.”

Les jetons d’authentification phisés peuvent ensuite être utilisés pour accéder à d’autres services auxquels l’utilisateur a déjà des autorisations, tels que le stockage par e-mail ou le cloud, sans avoir besoin d’un mot de passe.

Cybersécurité

Microsoft a déclaré que la session valide est utilisée pour se déplacer latéralement dans le réseau en envoyant des messages intra-organisationnels de phishing similaires à d’autres utilisateurs du compte compromis. En outre, le service Microsoft Graph est utilisé pour rechercher via des messages du compte violé.

“L’acteur de menace utilisait la recherche de mots clés pour afficher des messages contenant des mots tels que le nom d’utilisateur, le mot de passe, l’administrateur, l’équipe Viewer, AnyDesk, les informations d’identification, le secret, le ministère et le Gov”, a déclaré Redmond, ajoutant que les e-mails correspondant à ces critères de filtre ont ensuite été exfiltrés à la acteur de menace.

Pour atténuer le risque posé par de telles attaques, les organisations sont recommandées Bloquer le flux de code de périphérique Dans la mesure du possible, activez l’authentification multi-facteurs résistants au phishing (MFA) et suivez le principe du moindre privilège.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57