据安全研究员观察发现，一个可能与俄罗斯有关联的威胁者发起的活跃攻击活动，正利用设备代码钓鱼手段针对个人微软 365 账户进行攻击。

这些攻击目标涉及欧洲、北美、非洲和中东地区的政府、非政府组织、信息技术服务和科技、国防、电信、医疗以及能源/石油和天然气行业。

微软威胁情报中心将此次设备代码钓鱼活动背后的威胁者追踪为“风暴-237”。基于受害者特征和作案手法，研究人员认为，该活动与符合俄罗斯利益的国家行为有关。

设备代码钓鱼攻击

输入受限设备——那些缺少键盘或浏览器支持的设备，比如智能电视和某些物联网设备，依靠代码认证流程让用户通过在另一台设备（如智能手机或电脑）上输入授权码来登录应用程序。

微软研究人员发现，自去年 8 月以来，Storm-2372 通过诱骗用户在合法的登录页面输入攻击者生成的设备代码，滥用这种身份验证流程。

这些特工人员首先通过在 WhatsApp、Signal 和 Microsoft Teams 等消息平台上“冒充与目标有关的知名人士”与目标建立联系，然后才发起攻击。

Storm-2372发送到目标的消息

威胁者会在通过电子邮件或短信发送虚假的在线会议邀请之前，与受害者逐渐建立起一种融洽的关系。根据研究人员的说法，受害者收到一个团队会议邀请，其中包括攻击者生成的设备代码。

微软表示：“这些邀请会引诱用户完成设备代码认证请求，模拟消息传递服务，这为Storm-2372提供了对受害者账户的初始访问权限，并启用了Graph API数据收集活动，如电子邮件收集。”

只要被盗的令牌有效，黑客就可以在不需要密码的情况下访问受害者的微软服务（电子邮件、云存储）。

设备代码网络钓鱼攻击概述

然而，微软表示，攻击者现在正在设备代码登录流中使用Microsoft Authentication Broker的特定客户端ID，这允许他们生成新的令牌。

这开启了新的攻击和持久化可能性，因为攻击者可以使用客户端ID将设备注册到微软基于云的身份和访问管理解决方案Entra ID。

使用相同的刷新令牌和新的设备标识，Storm-2372能够获得主刷新令牌（PRT）并访问其资源。目前已经观察到Storm-2372使用连接的设备收集电子邮件。

防御风暴2372

为了对抗Storm-2372使用的设备代码钓鱼攻击，微软建议在可能的情况下阻止设备代码流，并在微软Entra ID中执行条件访问策略，以限制其对可信设备或网络的使用。

如果怀疑设备代码网络钓鱼，立即使用‘revokeSignInSessions’撤销用户的刷新令牌，并设置条件访问策略来强制受影响的用户重新认证。

最后，使用Microsoft Entra ID的登录日志来监视并快速识别短时间内大量的身份验证尝试、来自无法识别的ip的设备代码登录，以及发送给多个用户的设备代码身份验证的意外提示。

参考及来源：https://www.bleepingcomputer.com/news/security/microsoft-hackers-steal-emails-in-device-code-phishing-attacks/