Microsoft: nuovi attacchi di phishing tramite falsi inviti Teams

Una campagna attiva, condotta da un gruppo di cybercriminali potenzialmente legati alla Russia, sta prendendo di mira gli account Microsoft 365 tramite attacchi di phishing con codici dispositivo. Gli obiettivi includono settori governativi, ONG, servizi IT e tecnologia, difesa, telecomunicazioni, sanità ed energia in Europa, Nord America, Africa e Medio Oriente. Il Microsoft Threat Intelligence Center identifica gli autori di questa campagna di phishing come "Storm-237". In base agli interessi, ai bersagli e alle tecniche utilizzate, i ricercatori ritengono che l'attività sia legata a un'operazione statale allineata agli interessi della Russia.

Dispositivi con limitazioni di input, che non supportano tastiera o browser (smart TV e alcuni IoT) si basano su un flusso di autenticazione del codice. Ciò consente agli utenti di accedere a un'applicazione digitando un codice di autorizzazione su un dispositivo separato come uno smartphone o un computer. I ricercatori Microsoft hanno scoperto che da agosto scorso, Storm-2372 abusa di questo flusso di autenticazione. Ciò induce gli utenti a immettere codici dispositivo generati dall'aggressore su pagine di accesso legittime. Gli agenti avviano l'attacco dopo aver prima stabilito una connessione con il bersaglio "fingendosi una persona importante rilevante per il bersaglio" su piattaforme di messaggistica come WhatsApp, Signal e Microsoft Teams.

Microsoft: i dettagli dell’attacco hacker

L'autore della minaccia stabilisce gradualmente un rapporto prima di inviare un falso invito a una riunione online tramite e-mail o messaggio. Secondo i ricercatori, la vittima riceve un invito a una riunione di Teams che include un codice dispositivo generato dall'aggressore. Come ricorda l’azienda di Redmond: "gli inviti inducono l'utente a completare una richiesta di autenticazione del codice dispositivo che emula l'esperienza del servizio di messaggistica, che fornisce a Storm-2372 l'accesso iniziale agli account della vittima e abilita le attività di raccolta dati Graph API, come la raccolta di e-mail". Ciò consente agli hacker di accedere ai servizi Microsoft della vittima (e-mail, archiviazione cloud) senza bisogno di una password finché i token rubati rimangono validi.

Tuttavia, l’azienda afferma che l'aggressore sta ora utilizzando l'ID client specifico per Microsoft Authentication Broker nel flusso di accesso al codice dispositivo. Tale pratica consente loro di generare nuovi token. Ciò apre nuove possibilità di attacco e persistenza poiché l'attore della minaccia può utilizzare l'ID client per registrare i dispositivi su Entra ID.

Per contrastare gli attacchi di phishing del codice dispositivo utilizzati da Storm-2372, Microsoft propone di bloccare il flusso del codice dispositivo ove possibile e di applicare criteri di accesso condizionale in Microsoft Entra ID per limitarne l'uso a dispositivi o reti attendibili. Se si sospetta un phishing del codice dispositivo, è bene revocare i token di aggiornamento dell'utente utilizzando "revokeSignInSessions". In seguito, è bene impostare un criterio di accesso condizionale per forzare la riautenticazione per gli utenti interessati. Infine, è bene utilizzare i registri di accesso di Microsoft Entra ID per monitorare e identificare rapidamente volumi elevati di tentativi di autenticazione in un breve periodo, accessi al codice dispositivo da IP non riconosciuti e richieste inaspettate di autenticazione del codice dispositivo inviate a più utenti.