微软警告：黑客团伙Storm-2372利用设备代码实施网络钓鱼攻击

近日，微软公司发布了一则紧急安全警告，称其威胁情报中心发现一个名为Storm-2372的黑客组织，正利用合法的设备代码身份验证流程进行网络钓鱼攻击。这一新型攻击方式通过伪装成各种在线活动、虚拟会议或安全聊天的邀请，诱骗用户完成设备代码的输入，从而窃取受害者的敏感信息并在其所在组织内传播钓鱼消息。

攻击手法

根据微软的分析，该攻击组织采用了一种非常巧妙的方式。他们生成合法的设备代码，并将这些代码发送给潜在的受害者。受害者在收到这些看似正常的设备代码后，往往会误认为这是用于访问某个虚拟会议或聊天室的ID。这种误导使得受害者在不明真相的情况下，错误地将这些设备代码输入到攻击者创建的合法身份验证页面中。

攻击者通常通过伪装邮件的方式，将受害者引导到一个类似于Microsoft Teams等合法服务的邀请邮箱或网页，从而实现他们的目的。这些伪造的邀请通常具有很高的可信度，增加了用户上当的几率。此类手法不仅具有隐蔽性，还比传统的网络钓鱼攻击更为难以被发现，给用户带来了更大的安全风险。

窃取信息

成功获取用户的设备代码后，攻击者利用Microsoft Graph工具对受损账户进行深入的搜索，寻找包含“用户名”、“密码”、“管理员”、“TeamViewer”、“AnyDesk”、“凭据”、“秘密”等各种敏感信息的关键词。一旦找到了这些信息，攻击者便可通过电子邮件等方式将其窃取，从而更深入地侵入目标组织的网络环境。

这种攻击方式不仅令受害者难以察觉，而且由于其利用了合法身份验证流程，其被察觉的概率显著降低。同时，因为设备代码钓鱼攻击的认知度相对较低，许多用户可能根本无法辨别其真假，容易上当受骗。

预防措施

针对这一新型网络钓鱼攻击，微软的建议主要包括：

1. 禁用设备代码流程：建议组织管理者关闭其Microsoft 365账户的设备代码身份验证流程，减少攻击途径。

2. 实施登录风险管理策略：通过制定和实施严格的登录风险管理政策，自动撤销可疑登录的访问令牌，可以有效防止潜在的安全威胁。

3. 监测异常活动：管理员应对用户的登录活动进行监控，一旦发现异常登录行为，应立即进行调查和处理。

4. 定期教育用户：企业中所有员工应接受定期的网络安全，增强对网络钓鱼攻击的了解和识别能力，避免因缺乏警惕而受到攻击。

5. 利用技术手段：可以借助安全信息与事件管理（SIEM）解决方案和用户行为分析（UBA）工具，对用户身份进行监控和分析，及时发现潜在异常活动。

6. 调用撤销令牌：一旦怀疑遭受设备代码钓鱼攻击，组织可通过调用Microsoft Graph中的`revokeSignInSessions`功能，迅速撤销攻击者获得的访问令牌，保护受害者账户。

随着网络安全威胁日益增长，该黑客团伙Storm-2372的网络钓鱼攻击行为再次警示我们，在数字化转型推进的大背景下，增强网络安全防范意识显得尤为重要。面对这些隐蔽而巧妙的网络威胁，企业应加强内部安全措施，同时鼓励员工提升自身信息安全素养，以应对不断演化的网络攻击手段。

在此再次提醒，用户在接收来自不明来源的设备代码或链接时务必保持警惕，切勿随意输入个人信息和身份验证代码。如有怀疑，应及时向企业IT部门反馈，确保安全。

广告声明：本文中提及的外部链接（如超链接、二维码、口令等），用于传递更多信息，结果仅供参考。IT之家所有文章均包含此声明。