2 月 15 日消息，微軟公司昨日（2 月 14 日）發(fā)布緊急示警，旗下威脅情報(bào)中心發(fā)現(xiàn)一個(gè)名為 Storm-2372 的黑客組織，正利用合法的設(shè)備代碼身份驗(yàn)證流程進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊，竊取 Microsoft 365 賬戶。

該組織偽裝成在線活動(dòng)、虛擬會(huì)議或安全聊天的邀請(qǐng)，誘騙用戶完成設(shè)備代碼身份驗(yàn)證，從而訪問(wèn)受害者的 Microsoft 365 服務(wù)，竊取敏感信息，并在受害者組織內(nèi)傳播釣魚(yú)信息。

攻擊者從其設(shè)備生成合法的設(shè)備代碼，并將其發(fā)送給受害者。受害者誤以為這是訪問(wèn)會(huì)議或聊天室的 ID，將其輸入到合法的身份驗(yàn)證頁(yè)面。攻擊者通過(guò)模仿 Microsoft Teams 等合法服務(wù)的邀請(qǐng)郵件或網(wǎng)頁(yè)，引導(dǎo)受害者訪問(wèn)此頁(yè)面。

IT之家援引博文介紹，攻擊者利用 Microsoft Graph 搜索受損賬戶中包含“用戶名”、“密碼”、“管理員”、“TeamViewer”、“AnyDesk”、“憑據(jù)”、“秘密”、“部門(mén)”和“政府”等關(guān)鍵詞的信息，并通過(guò)電子郵件將其竊取。

此類(lèi)攻擊利用了合法的設(shè)備代碼身份驗(yàn)證流程，比傳統(tǒng)的釣魚(yú)網(wǎng)站或惡意軟件更難檢測(cè)。而且，設(shè)備代碼釣魚(yú)攻擊的認(rèn)知度較低，使其更具隱蔽性。

微軟建議組織禁用組織 Microsoft 365 賬戶的設(shè)備代碼流程，并實(shí)施登錄風(fēng)險(xiǎn)策略，自動(dòng)撤銷(xiāo)可疑登錄的訪問(wèn)令牌。如果懷疑遭受設(shè)備代碼釣魚(yú)攻擊，可以通過(guò)調(diào)用 Microsoft Graph 中的 revokeSignInSessions 撤銷(xiāo)攻擊者獲得的訪問(wèn)令牌。

【來(lái)源：IT之家】