Microsoft heeft een waarschuwing afgegeven over een nieuwe phishingtechniek die wordt gebruikt door de dreigingsgroep Storm-2372. Deze groep heeft zijn tactieken aangepast en maakt nu gebruik van een techniek genaamd ‘device code phishing’ om multi-factor authenticatie (MFA) te omzeilen en toegangstokens te stelen.
Volgens Microsoft heeft Storm-2372, een groep die met ‘gemiddeld vertrouwen’ aan Rusland wordt gelinkt, sinds augustus 2024 een actieve en succesvolle aanvalscampagne uitgevoerd met deze methode. De groep richt zich op overheden, niet-gouvernementele organisaties (NGO’s) en bedrijven in sectoren zoals IT, defensie, telecommunicatie, gezondheidszorg, energie en onderwijs in verschillende regio’s.
Phishingtechniek
De techniek van device code phishing maakt misbruik van een gangbare authenticatiemethode voor apparaten die geen standaard webgebaseerde authenticatie kunnen uitvoeren. Deze apparaten vereisen dat gebruikers zich aanmelden via een ander apparaat, wat een zwakke plek creëert die door aanvallers wordt uitgebuit.
Apparaatcode
De aanval begint wanneer de dreigingsactor een authenticatieproces start door een apparaatcode op te vragen bij de doelservice. Vervolgens wordt deze code naar het slachtoffer gestuurd, bijvoorbeeld als een uitnodiging voor een Teams-vergadering of als een registratiecode.
Het slachtoffer doorloopt het gebruikelijke authenticatieproces, inclusief het invoeren van gebruikersnaam, wachtwoord en MFA-gegevens op de legitieme inlogpagina. Zodra het systeem toegang verleent, kan de aanvaller het gegenereerde toegangstoken bemachtigen en daarmee toegang krijgen tot het account van het slachtoffer.
Breed gedragen aanvallen
Naast Microsoft heeft ook cybersecuritybedrijf Volexity recentelijk een rapport gepubliceerd waarin wordt bevestigd dat verschillende Russische dreigingsactoren gebruikmaken van device code phishing in meerdere campagnes. Dit wijst op een brede adoptie van deze techniek door cybercriminelen, waardoor organisaties extra waakzaam moeten zijn.
Bescherming
Om zich te beschermen tegen deze dreiging, adviseren experts om waarschuwingssignalen van verdachte inlogpogingen in de gaten te houden, striktere authenticatiecontroles in te voeren en medewerkers bewust te maken van de gevaren van phishingtechnieken zoals deze.
Met de groeiende dreiging van geavanceerde phishingmethodes blijft het essentieel om beveiligingsmaatregelen voortdurend te evalueren en te verbeteren.