Russische staatshackers misbruiken apparaatcode-phishing in wereldwijde cyberspionagecampagne
Een gevaarlijke golf van cyberaanvallen die verband houden met door de Russische staat gesponsorde hackers, raast door belangrijke sectoren en brengt overheidsinstanties, defensie-aannemers, telecombedrijven en andere organisaties met een hoge waarde in gevaar. Microsoft heeft een geavanceerde dreigingsactor geïdentificeerd, gevolgd als Storm-2372, die apparaatcode-phishing gebruikt om accounts te infiltreren en gevoelige gegevens te exfiltreren.
Deze campagne, die sinds ten minste augustus 2024 actief is, heeft impact gehad op organisaties in Noord-Amerika, Europa, het Midden-Oosten en Afrika. Met de mogelijkheid om traditionele authenticatiemechanismen te omzeilen, vormt deze aanvalsmethode een aanzienlijk risico voor kritieke infrastructuur en nationale veiligheid.
Table of Contents
Hoe apparaatcode-phishing werkt
Apparaatcode-authenticatie is een legitiem proces dat wordt gebruikt om in te loggen op accounts vanaf apparaten die geen interactieve inlogmogelijkheden hebben, zoals smart-tv's of IoT-apparaten. Aanvallers misbruiken deze functie door slachtoffers te misleiden om een gegenereerde apparaatcode in te voeren op een legitieme inlogpagina. Zodra het doelwit de code indient, haalt de hacker een toegangstoken op, waarmee ze ongeautoriseerde toegang krijgen tot de e-mail, cloudopslag en andere gevoelige systemen van het slachtoffer.
In tegenstelling tot traditionele phishing, vereist device code phishing geen wachtwoorden. In plaats daarvan misbruikt het authenticatiestromen om permanente toegang te krijgen, zolang de sessietokens geldig blijven. Dit stelt aanvallers in staat om lateraal te bewegen binnen een gecompromitteerd netwerk, hun privileges te verhogen en zich verder te verspreiden binnen een organisatie.
De tactieken van Storm-2372
Uit het onderzoek van Microsoft blijkt dat Storm-2372 zeer gerichte phishingmails gebruikt, vaak vermomd als uitnodigingen voor Microsoft Teams-vergaderingen, om slachtoffers te verleiden toegang te verlenen. De groep gebruikt social engineering-tactieken via WhatsApp, Signal en Microsoft Teams, waarbij ze zich voordoen als invloedrijke personen die relevant zijn voor hun doelwitten. Zodra er een band is opgebouwd, sturen de aanvallers kwaadaardige uitnodigingen voor vergaderingen met frauduleuze authenticatieverzoeken.
Nadat een account succesvol is gecompromitteerd, misbruikt Storm-2372 de Microsoft Graph API om postvakken te scannen op gevoelige trefwoorden zoals 'gebruikersnaam', 'wachtwoord', 'beheerder', 'referenties', 'overheid' en 'geheim'. Ze exfiltreren ook e-mails en gebruiken gecompromitteerde accounts om verdere interne phishingaanvallen binnen de organisatie uit te voeren.
Sinds 13 februari 2025 hebben de hackers hun tactieken ontwikkeld en gebruiken ze de client-ID van Microsoft Authentication Broker om refresh-tokens te verkrijgen. Met deze tokens kunnen ze hun eigen apparaten registreren binnen Entra ID, wat effectief een persistente backdoor in gecompromitteerde netwerken plaatst. Om detectie te voorkomen, is Storm-2372 ook waargenomen met behulp van regiospecifieke proxyservers om hun toegang te verhullen.
Verbindingen met andere Russische hackinggroepen
Cybersecuritybedrijf Volexity meldt dat apparaatcode-phishing is gebruikt om prominente entiteiten te targeten, waaronder het Amerikaanse ministerie van Buitenlandse Zaken, het Oekraïense ministerie van Defensie en het Europees Parlement. Naast Storm-2372 zijn er drie andere aan Rusland gelinkte hackinggroepen waargenomen die vergelijkbare technieken gebruiken: APT29 (Cozy Bear), UTA0304 en UTA0307.
Hoewel deze actoren afzonderlijk worden gevolgd, suggereert Volexity dat ze mogelijk deel uitmaken van één gecoördineerde campagne, die is opgezet om inlichtingen te verzamelen van westerse overheden en strategische instellingen.
Mitigatiestrategieën: bescherming tegen apparaatcode-phishing
Organisaties moeten proactieve beveiligingsmaatregelen nemen om zich te verdedigen tegen deze opkomende dreiging. Dit is hoe:
1. Schakel apparaatcodeverificatie uit (indien niet nodig)
Als uw organisatie niet afhankelijk is van apparaatcode-authenticatie, kunt u de aanvalsvector volledig elimineren door deze uit te schakelen.
2. Schakel multi-factorauthenticatie (MFA) in
Bij phishing via apparaatcode worden wachtwoorden omzeild. Door sterke MFA-methoden (zoals hardwarematige beveiligingssleutels) in te schakelen, kunt u echter ongeautoriseerde toegang voorkomen.
3. Controleer op ongebruikelijke authenticatieverzoeken
Beveiligingsteams moeten letten op verdachte inlogpogingen, vooral vanaf onbekende locaties of apparaten die zijn geregistreerd via Entra ID.
4. Onderwijs werknemers over social engineering
Omdat aanvallers sociale platforms zoals WhatsApp en Signal gebruiken om vertrouwen te wekken, moeten organisaties hun medewerkers trainen in het herkennen van imitatietactieken en het verifiëren van onverwachte vergaderverzoeken.
5. Implementeer voorwaardelijke toegangsbeleid
Beperk de toegang op basis van apparaatvertrouwen, geografische locatie en gedragsanalyse om verdachte aanmeldingen te blokkeren voordat ze succesvol zijn.
