俄罗斯国家黑客利用设备代码钓鱼进行全球网络间谍活动

俄罗斯政府支持的黑客发起了一波危险的网络攻击，正在席卷关键行业，危害政府机构、国防承包商、电信公司和其他高价值组织。微软已发现一个老练的威胁行为者，追踪编号为 Storm-2372，利用设备代码钓鱼来入侵账户并窃取敏感数据。

该攻击活动自 2024 年 8 月起开始活跃，影响了北美、欧洲、中东和非洲的组织。由于能够绕过传统的身份验证机制，这种攻击方法对关键基础设施和国家安全构成了重大风险。

设备代码网络钓鱼的工作原理

设备代码验证是一种合法流程，用于从缺乏交互式登录功能的设备（例如智能电视或物联网设备）登录帐户。攻击者利用此功能诱骗受害者在合法的登录页面上输入生成的设备代码。一旦目标提交代码，黑客就会检索访问令牌，允许他们未经授权进入受害者的电子邮件、云存储和其他敏感系统。

与传统网络钓鱼不同，设备代码网络钓鱼不需要密码，相反，只要会话令牌仍然有效，它就会滥用身份验证流程来获得持久访问权限。这使攻击者能够在受感染的网络中横向移动，提升其权限并在组织内进一步传播。

风暴战术-2372

微软的调查显示，Storm-2372 一直在使用高度针对性的网络钓鱼电子邮件，这些电子邮件通常伪装成 Microsoft Teams 会议邀请，以诱骗受害者授予访问权限。该组织通过 WhatsApp、Signal 和 Microsoft Teams 采用社交工程策略，冒充与目标相关的有影响力的个人。一旦建立融洽关系，攻击者就会发送包含欺诈性身份验证请求的恶意会议邀请。

成功入侵账户后，Storm-2372 会滥用 Microsoft Graph API 扫描收件箱，查找敏感关键字，例如“用户名”、“密码”、“管理员”、“凭据”、“政府”和“机密”。他们还会窃取电子邮件，并使用入侵的账户在组织内部发起进一步的内部网络钓鱼攻击。

自 2025 年 2 月 13 日起，黑客的策略不断演变，他们使用 Microsoft 身份验证代理的客户端 ID 获取刷新令牌。这些令牌允许他们在 Entra ID 中注册自己的设备，从而有效地在受感染的网络中植入持久后门。为了避免被发现，Storm-2372 还被发现使用特定区域的代理服务器来伪装其访问权限。

与其他俄罗斯黑客组织的联系

网络安全公司 Volexity 报告称，设备代码网络钓鱼已被用来攻击知名实体，包括美国国务院、乌克兰国防部和欧盟议会。除了 Storm-2372 之外，还观察到另外三个与俄罗斯有关的黑客组织——APT29（Cozy Bear）、UTA0304 和 UTA0307——也使用了类似的技术。

虽然这些行为者是被单独追踪的，但 Volexity 认为他们可能是一场协调一致的活动的一部分，旨在从西方政府和战略机构收集情报。

缓解策略：防范设备代码网络钓鱼

组织必须采取主动的安全措施来防御这一新出现的威胁。具体方法如下：

1. 禁用设备代码验证（如果不需要）

如果您的组织不依赖设备代码认证，则禁用它可以完全消除攻击媒介。

2. 启用多重身份验证 (MFA)

虽然设备代码网络钓鱼可以绕过密码，但启用强 MFA 方法（例如硬件安全密钥）可以帮助防止未经授权的访问。

3. 监控异常的身份验证请求

安全团队应该寻找可疑的登录尝试，尤其是来自陌生地点或通过 Entra ID 注册的设备。

4. 对员工进行社会工程教育

由于攻击者使用 WhatsApp 和 Signal 等社交平台来建立信任，因此组织必须培训员工识别冒充策略并验证意外的会议请求。

5.实施条件访问政策

根据设备信任、地理位置和行为分析限制访问，以在可疑登录成功之前阻止其发生。