俄罗斯骇客发动网路钓鱼的攻击手法翻陈出新,最近有两组资安研究人员提出警告,这些骇客开始假借安全为由,使用者必须绑定装置的才能通过身分验证为幌子,发动装置验证码(Device Code)网钓攻击行动。
2月13日微软威胁情报团队指出,他们发现与俄罗斯有关的骇客组织Storm-2372,Volexity研究人员Charlie Gardner、Steven Adair、Tom Lancaster指出,这些骇客冒充美国国务院、乌克兰国防部、欧盟议会,或是知名研究机构,以微软Teams会议、视讯会议、使用安全的即时通讯软体加入聊天室,以及利用M365帐号存取应用程式与资料为由,寄送钓鱼邮件,要求收信人进行设备验证。
一旦攻击者成功挟持受害者帐号,攻击者就有可能进行后续的入侵手段,像是作为存取受害组织的所需材料,并透过指令码或原生应用程式执行相关作业,或是存取与遭窃帐号有关的基础设施架构。
而对于攻击者的身分,Volexity表示至少有3组俄罗斯骇客参与攻击,其中一个被称为CozyLarch,该组织与称做APT29、Midnight Blizzard、CozyDuke的另一组人马有所关联。