Ρώσοι hackers στοχεύουν λογαριασμούς Microsoft 365

Πολλαπλοί ρωσικοί εθνικοί κρατικοί φορείς στοχεύουν ευαίσθητους λογαριασμούς Microsoft 365 μέσω phishing ελέγχου ταυτότητας κωδικού συσκευής, σύμφωνα με νέα ανάλυση της Volexity. Η εταιρεία παρατήρησε για πρώτη φορά αυτή τη δραστηριότητα προς τα τέλη Ιανουαρίου του 2025, όταν ο λογαριασμός M365 ενός πελάτη της παραβιάστηκε κατά τη διάρκεια μιας εξαιρετικά στοχευμένης επίθεσης. Σύμφωνα με τους ερευνητές, η τεχνική είναι πιο αποτελεσματική στην επιτυχή παραβίαση λογαριασμών από τις περισσότερες άλλες εκστρατείες spear-phishing.

Στην εκστρατεία, οι επιτιθέμενοι υποδύονται άτομα από κυβερνητικές υπηρεσίες, συμπεριλαμβανομένου του Υπουργείου Εξωτερικών των ΗΠΑ, και διακεκριμένα ερευνητικά ιδρύματα. Έχει σχεδιαστεί έτσι, ώστε να εξαναγκάσει τους στόχους με κοινωνικό τρόπο να δώσουν έναν συγκεκριμένο κωδικό ελέγχου ταυτότητας συσκευής της Microsoft, επιτρέποντας στους επιτιθέμενους μακροπρόθεσμη πρόσβαση στον λογαριασμό του χρήστη. Αυτή η τακτική έχει σχεδιαστεί για την εκροή ευαίσθητων πληροφοριών από παραβιασμένους οργανισμούς που θα ενδιέφεραν έναν ρωσικό παράγοντα απειλής.

Ο έλεγχος ταυτότητας με κωδικό συσκευής είναι μια μέθοδος με την οποία οι χρήστες μπορούν να συνδεθούν σε υπηρεσίες M365 σε συσκευές που δεν διαθέτουν πλήρες περιβάλλον περιήγησης, όπως συσκευές Internet-of-Things (IoT), χρησιμοποιώντας έναν κωδικό που εμφανίζεται σε αυτή τη συσκευή και στη συνέχεια πραγματοποιώντας έλεγχο ταυτότητας σε μια άλλη συσκευή, όπως ένα τηλέφωνο.

Οι περισσότερες από τις επιθέσεις που παρατηρήθηκαν προέρχονταν από spear-phishing μηνύματα ηλεκτρονικού ταχυδρομείου που χρησιμοποιούσαν μια ποικιλία θεμάτων. Ωστόσο, μία περίπτωση ξεκίνησε με προσέγγιση μέσω της υπηρεσίας ανταλλαγής μηνυμάτων Signal. Όλες είχαν ως αποτέλεσμα ο επιτιθέμενος να προσκαλέσει τον στοχευόμενο χρήστη σε μια εικονική συνάντηση, να αποκτήσει πρόσβαση σε εφαρμογές και δεδομένα ως εξωτερικός χρήστης του M365 ή να συμμετάσχει σε μια αίθουσα συνομιλίας σε μια ασφαλή εφαρμογή συνομιλίας.

ΤΕΥΧΟΣ 677