Russiske statshackere udnytter enhedskode-phishing i en global cyberspionagekampagne

En farlig bølge af cyberangreb knyttet til russiske statssponsorerede hackere skyller ind over nøgleindustrier og kompromitterer statslige agenturer, forsvarsentreprenører, teleselskaber og andre højværdiorganisationer. Microsoft har identificeret en sofistikeret trusselsaktør, sporet som Storm-2372, der udnytter enhedskode-phishing til at infiltrere konti og eksfiltrere følsomme data.

Denne kampagne, der har været aktiv siden mindst august 2024, har påvirket organisationer i hele Nordamerika, Europa, Mellemøsten og Afrika. Med evnen til at omgå traditionelle autentificeringsmekanismer udgør denne angrebsmetode en betydelig risiko for kritisk infrastruktur og national sikkerhed.

Table of Contents

Sådan fungerer enhedskodephishing

Enhedskodegodkendelse er en legitim proces, der bruges til at logge ind på konti fra enheder, der mangler interaktive login-funktioner, såsom smart-tv eller IoT-enheder. Angribere udnytter denne funktion ved at narre ofre til at indtaste en genereret enhedskode på en legitim login-side. Når målet indsender koden, henter hackeren et adgangstoken, der giver dem uautoriseret adgang til ofrets e-mail, skylager og andre følsomme systemer.

I modsætning til traditionel phishing kræver enhedskodephishing ikke adgangskoder – i stedet misbruger det godkendelsesflows for at få vedvarende adgang, så længe sessionstokenserne forbliver gyldige. Dette gør det muligt for angribere at bevæge sig sideværts inden for et kompromitteret netværk, eskalere deres privilegier og sprede sig yderligere inden for en organisation.

Taktik af Storm-2372

Microsofts undersøgelse afslører, at Storm-2372 har brugt meget målrettede phishing-e-mails, ofte forklædt som Microsoft Teams mødeinvitationer, for at lokke ofre til at give adgang. Gruppen anvender social engineering taktik via WhatsApp, Signal og Microsoft Teams, der efterligner indflydelsesrige personer, der er relevante for deres mål. Når rapport er etableret, sender angriberne ondsindede mødeinvitationer, der indeholder svigagtige godkendelsesanmodninger.

Efter at have kompromitteret en konto, misbruger Storm-2372 Microsoft Graph API til at scanne indbakker for følsomme søgeord såsom "brugernavn", "adgangskode", "admin", "legitimationsoplysninger", "gov" og "hemmeligt". De eksfiltrerer også e-mails og bruger kompromitterede konti til at starte yderligere interne phishing-angreb i organisationen.

Siden 13. februar 2025 har hackerne udviklet deres taktik ved at bruge Microsoft Authentication Brokers klient-id til at opnå opdateringstokens. Disse tokens giver dem mulighed for at registrere deres egne enheder i Entra ID, hvilket effektivt planter en vedvarende bagdør ind i kompromitterede netværk. For at undgå opdagelse er Storm-2372 også blevet observeret ved at bruge regionsspecifikke proxyservere til at skjule deres adgang.

Forbindelser til andre russiske hackergrupper

Cybersikkerhedsfirmaet Volexity rapporterer, at enhedskode-phishing er blevet brugt til at målrette mod højprofilerede enheder, herunder det amerikanske udenrigsministerium, det ukrainske forsvarsministerium og EU-parlamentet. Ud over Storm-2372 er tre andre russisk-forbundne hackergrupper – APT29 (Cozy Bear), UTA0304 og UTA0307 – blevet observeret ved hjælp af lignende teknikker.

Mens disse aktører spores separat, foreslår Volexity, at de kan være en del af en enkelt koordineret kampagne, orkestreret for at indsamle efterretninger fra vestlige regeringer og strategiske institutioner.

Afhjælpningsstrategier: Beskyttelse mod enhedskode-phishing

Organisationer skal vedtage proaktive sikkerhedsforanstaltninger for at forsvare sig mod denne nye trussel. Sådan gør du:

1. Deaktiver enhedskodegodkendelse (hvis det ikke er nødvendigt)

Hvis din organisation ikke er afhængig af enhedskodegodkendelse, kan deaktivering af den eliminere angrebsvektoren helt.

2. Aktiver Multi-Factor Authentication (MFA)

Mens enhedskodephishing omgår adgangskoder, kan aktivering af stærke MFA-metoder (såsom hardwaresikkerhedsnøgler) hjælpe med at forhindre uautoriseret adgang.

3. Overvåg for usædvanlige godkendelsesanmodninger

Sikkerhedsteam bør lede efter mistænkelige loginforsøg, især fra ukendte steder eller enheder, der er registreret via Entra ID.

4. Uddanne medarbejdere i Social Engineering

Da angribere bruger sociale platforme som WhatsApp og Signal til at skabe tillid, skal organisationer træne medarbejderne til at genkende efterligningstaktikker og bekræfte uventede mødeanmodninger.