俄羅斯國家駭客利用設備代碼釣魚進行全球網路間諜活動

與俄羅斯政府支持的駭客有關的危險網路攻擊浪潮正在席捲關鍵產業，危及政府機構、國防承包商、電信公司和其他高價值組織。微軟已經發現了一個複雜的威脅行為者，追蹤編號為 Storm-2372，利用裝置代碼網路釣魚來滲透帳戶並竊取敏感資料。

該活動至少自 2024 年 8 月開始活躍，已影響北美、歐洲、中東和非洲的組織。這種攻擊方法能夠繞過傳統的身份驗證機制，對關鍵基礎設施和國家安全構成重大風險。

設備代碼網路釣魚的工作原理

設備代碼認證是用於從缺乏互動式登入功能的設備（例如智慧電視或物聯網設備）登入帳戶的合法流程。攻擊者利用此功能誘騙受害者在合法登入頁面上輸入產生的裝置代碼。一旦目標提交程式碼，駭客就會檢索存取令牌，從而允許他們未經授權進入受害者的電子郵件、雲端儲存和其他敏感系統。

與傳統網路釣魚不同，設備代碼網路釣魚不需要密碼 - 相反，只要會話令牌保持有效，它就會濫用身份驗證流程來獲得持續存取權限。這使得攻擊者可以在受感染的網路內橫向移動，提升其權限並在組織內進一步擴散。

風暴戰術-2372

微軟的調查顯示，Storm-2372 一直在使用高度針對性的網路釣魚電子郵件，通常偽裝成 Microsoft Teams 會議邀請，以誘騙受害者授予存取權限。該組織透過 WhatsApp、Signal 和 Microsoft Teams 採用社會工程策略，冒充與其目標相關的有影響力的人物。一旦建立了融洽關係，攻擊者就會發送包含詐欺性身分驗證請求的惡意會議邀請。

成功入侵帳戶後，Storm-2372 會濫用 Microsoft Graph API 掃描收件匣以尋找敏感關鍵字，例如「使用者名稱」、「密碼」、「管理員」、「憑證」、「gov」和「機密」。他們還會竊取電子郵件並利用被盜帳戶在組織內部發動進一步的內部網路釣魚攻擊。

自 2025 年 2 月 13 日起，駭客已經改進了他們的攻擊策略，使用 Microsoft 驗證代理程式的用戶端 ID 來取得刷新令牌。這些令牌允許他們在 Entra ID 中註冊自己的設備，從而有效地在受感染的網路中植入持久後門。為了避免被發現，Storm-2372 也被發現使用特定區域的代理伺服器來偽裝其存取權限。

與其他俄羅斯駭客組織的聯繫

網路安全公司 Volexity 報告稱，設備代碼網路釣魚已被用來攻擊知名實體，包括美國國務院、烏克蘭國防部和歐盟議會。除了 Storm-2372 之外，據觀察，另外三個與俄羅斯有關的駭客組織——APT29（Cozy Bear）、UTA0304 和 UTA0307——也使用了類似的技術。

雖然這些行為者是被單獨追蹤的，但 Volexity 認為他們可能是一場協調一致的活動的一部分，旨在從西方政府和戰略機構收集情報。

緩解策略：防範設備代碼網路釣魚

組織必須採取主動的安全措施來防禦這種新出現的威脅。方法如下：

1. 停用裝置代碼驗證（如果不需要）

如果您的組織不依賴裝置程式碼認證，則停用它可以完全消除攻擊媒介。

2. 啟用多重身份驗證 (MFA)

雖然裝置代碼網路釣魚可以繞過密碼，但啟用強 MFA 方法（例如硬體安全金鑰）可以幫助防止未經授權的存取。

3. 監控異常的身份驗證請求

安全團隊應該尋找可疑的登入嘗試，尤其是來自陌生地點或透過 Entra ID 註冊的裝置。

4. 對員工進行社會工程教育

由於攻擊者使用 WhatsApp 和 Signal 等社交平台來建立信任，因此組織必須培訓員工識別冒充策略並驗證意外的會議請求。

5.實施條件存取政策

根據設備信任、地理位置和行為分析限制訪問，以在可疑登入成功之前阻止其發生。