کمیته رکن چهارم – یک گروه هکری وابسته به روسیه با بهرهبرداری از روش احراز هویت Device Code در سرویس Microsoft 365، اقدام به فیشینگ هدفمند و تصاحب حسابهای کاربران کرده است. این فعالیت از شهریور ۱۴۰۴ آغاز شده و تمرکز آن روی کارکنان دولتها، اندیشکدهها، دانشگاهها و بخش حملونقل در آمریکا و اروپا بوده است.
به گزارش کمیته رکن چهارم، مهاجمان از ایمیلهای بهدستگرفتهشده برای فریب کاربران استفاده کردهاند. کاربران با کلیک روی لینکی که شبیه به لینک OneDrive است، به صفحهای هدایت میشوند که از آنها میخواهد کدی را در سایت رسمی Microsoft وارد کنند. با انجام این کار، یک توکن دسترسی برای مهاجم تولید میشود که بدون نیاز به رمز عبور، وارد حساب کاربر میشود.
این روش پیشتر نیز توسط گروههای هکری شناختهشده وابسته به روسیه مانند APT29 و Storm-2372 استفاده شده بود. ابزارهای فیشینگ مانند Graphish و SquarePhish نیز در این حملات نقش داشتهاند. SquarePhish بهگونهای طراحی شده که مهاجمان حتی بدون دانش فنی زیاد نیز بتوانند حمله را اجرا کنند.
تحلیلگران هشدار دادهاند که هدف این حملات، دستیابی به اطلاعات حساس سازمانی و ادامه دسترسی به شبکههاست. به کاربران توصیه شده ورود از طریق Device Code را در سازمانها مسدود کنند یا فقط به دستگاهها و IPهای مشخصشده اجازه این نوع ورود داده شود.
