Uma campanha cibernética recém-descoberta liderada pelo grupo russo apoiado pelo Estado Storm-2372 está explorando Código do dispositivo Phishing ignorar a autenticação multi-fator (MFA) e infiltrar-se alvos de alto valor. Essa tática altamente direcionada representa uma escalada no uso da engenharia social para derrotar os sistemas de segurança avançados. A campanha destaca a necessidade crítica de organizações modernas adotarem mecanismos adaptativos de defesa com conhecimento de contexto para combater ameaças baseadas em identidade que estão cada vez mais evitando proteções convencionais.
O que é phishing do código do dispositivo?
Código do dispositivo Phishing tira proveito do Fluxo de autorização do dispositivo OAuthque normalmente é usado por dispositivos com recursos de entrada limitados. Embora originalmente projetados para facilitar o uso, os invasores armaram esse recurso para intrusões furtivas.
Sequência de ataque de phishing de código de dispositivo
Em um cenário típico, os cibercriminosos:
- Envie mensagens de phishing (email ou SMS) pedindo que o destino use um código de dispositivo para autenticação.
- Guie -os para uma página de login real como o Portal da Microsoft.
- Engane-os a entrar em um código de dispositivo gerado pelo atacante, acreditando que é legítimo.
Uma vez que o usuário inocente insegue o código e concede acesso, o invasor ganha acesso ilegal à conta corporativa da vítima. Notavelmente, esse acesso é alcançado sem desencadear desafios tradicionais de MFAtornando a detecção significativamente mais difícil.
Esses tipos de ataques são altamente enganosos porque confiam em interfaces de autenticação confiáveis. As vítimas geralmente não percebem que estão comprometidas até que seja tarde demais.
Quem está sendo alvo?
A Storm-2372 está dirigindo seus esforços para setores com dados valiosos e sensíveis e influência de tomada de decisão de alto risco. Seus alvos abrangem uma ampla gama de indústrias e geografias, com um foco particular em ativos estratégicos, econômicos e militares. Os setores afetados incluem:
- Governo e setor público: Espionagem, roubo de inteligência
- Tecnologia e serviços de TI: Exploração de serviço em nuvem
- Instituições financeiras: Roubo de credencial, riscos de fraude
- Defesa e Aeroespacial: Ameaças de segurança nacional
- Saúde e produtos farmacêuticos: Violações de dados do paciente
- Mídia e comunicações: Lançamento de campanhas de desinformação
Esta campanha deixou pegadas digitais em vários países, incluindo o Estados Unidos, Ucrânia, Reino Unido, Alemanha, Canadá e Austrália.
Indicadores -chave de compromisso (IOCs)
Para detectar e mitigar possíveis violações antecipadas, as equipes de segurança cibernética devem permanecer alertas para os seguintes indicadores:
- Autorização OAuth não reconhecida de aplicativos ou locais inesperados
- Mensagens de phishing com códigos de dispositivo com solicitações de autenticação urgente ou incomum
- Anomalias de atividades de login, como logins de endereços IP não associados à organização ou suas geografias conhecidas
- Toges de acesso mostrando sessões persistentes, apesar das recentes alterações de senha
A revisão do terminal e os registros de acesso em nuvem freqüentemente pode ajudar a descobrir comportamentos suspeitos vinculados ao abuso de OAuth.
Para uma discriminação técnica detalhada desse método de ataque, consulte Análise de Black Hills Infosec do código de dispositivo dinâmico Phishing.
Estratégias de mitigação
Para se defender contra ataques de phishing do código do dispositivo, as organizações devem considerar a implementação das seguintes medidas de segurança:
- Ativar políticas de acesso condicional – restringir o acesso com base na conformidade e localização do dispositivo.
- Monitore solicitações de token OAuth -Audite regularmente as permissões de aplicativos OAuth de terceiros.
- Implantar MFA resistente a phishing -Use teclas de segurança FIDO2 em vez do MFA baseado em SMS.
- Educar os funcionários – Realize treinamento de conscientização sobre segurança sobre ameaças de phishing.
Conclusão: Ficar à frente das ameaças baseadas em identidade
A campanha Storm-2372 exemplifica uma mudança perigosa na sofisticação do ator de ameaças, particularmente em como os fluxos de autenticação estão sendo explorados. As organizações devem evoluir em conjunto, não apenas implantando ferramentas de segurança modernas, mas também alimentando uma cultura de conscientização e capacidade de resposta da segurança.
Em Socradar, enfatizamos uma abordagem orientada para a inteligência à segurança cibernética, permitindo que as organizações antecipem ameaças antes de aumentarem. Ao integrar o MFA resistente a phishing, monitorando continuamente o comportamento anômalo e aplicando controles rigorosos de acesso, as empresas podem reduzir substancialmente sua superfície de ataque.
Inteligência e Inteligência de Acesso, Socradar Xti Plataforma
À medida que a identidade se torna o novo perímetro, a vigilância é fundamental. As ameaças cibernéticas estão ficando mais secretas e adaptativas-permanecendo informadas, mantendo mecanismos de defesa proativos e promover a resiliência organizacional agora não é negociável.
