俄罗斯 APT 黑客利用设备代码钓鱼技术绕过 MFA

俄罗斯APT组织 Storm-2372 利用OAuth 设备代码网络钓鱼绕过多因素身份验证 (MFA)，并渗透到政府、非政府组织和关键行业的高价值目标。

自 2024 年 8 月以来，该组织已将 OAuth 设备授权流程（一种合法的身份验证机制）武器化，以劫持用户会话并窃取敏感数据。

微软威胁情报研究人员与 SOCRadar 和 Volexity 等网络安全公司合作，将这些攻击追踪到欧洲、北美、非洲和中东的战略部门，突显了基于身份验证的威胁日益复杂化。

设备代码网络钓鱼利用 OAuth 设备授权流程，这是一种为输入功能有限的设备（例如智能电视或打印机）设计的协议。

攻击者通过Microsoft Azure等平台生成合法的设备代码，并将其嵌入到伪装成紧急会议邀请的网络钓鱼诱饵中，通过电子邮件、短信或 Teams、WhatsApp 或 Signal 等消息应用程序发送。

受害者会被引导至真正的登录门户（例如，Microsoft 的身份验证页面）并提示输入攻击者提供的代码。

一旦提交，攻击者就会捕获生成的访问和刷新令牌，从而授予对受害者帐户的持久访问权限，而无需触发 MFA 。

这种技术的有效性在于它滥用了可信接口。与依赖伪造登录页面的传统网络钓鱼不同，设备代码网络钓鱼利用的是合法的身份验证工作流程，这使得检测异常困难。

正如微软所指出的，Storm-2372 的活动经常模仿企业沟通模板，例如 Teams 会议邀请，以使目标产生一种虚假的安全感。

捕获的令牌可在网络内进行横向移动，允许攻击者抓取电子邮件、入侵其他帐户并通过 Microsoft Graph API 窃取数据。

对关键基础设施的战略攻击

Storm-2372 的活动优先考虑能够访问地缘政治情报、经济数据和基础设施控制系统的组织。

乌克兰、德国和美国的政府机构、国防承包商和电信公司是主要目标，同时还有参与中东人道主义援助和能源领域的非政府组织。

该组织专注于 IT 服务和高等教育机构，表明其对知识产权和研究数据感兴趣，可能会帮助俄罗斯实现技术和军事目标。

微软的分析显示，攻击者经常冒充高级官员或 IT 管理员，在传递网络钓鱼负载之前与目标建立融洽关系。

例如，伪造的 Teams 会议邀请可能包含标记为“会议 ID”的设备代码，提示受害者通过 Microsoft 的合法门户进行身份验证。

一旦进入系统，Storm-2372 就会使用关键字搜索（例如“凭证”、“部门”、“管理员”）来识别和窃取敏感电子邮件，并利用 Microsoft Graph 等受认可的 API 绕过传统的电子邮件安全工具。

技术报告：

https://socradar.io/storm-2372-russian-apt-using-device-code-phishing-in-advanced-attacks/

https://www.microsoft.com/en-us/security/blog/2025/02/13/storm-2372-conducts-device-code-phishing-campaign/

新闻链接：

https://gbhackers.com/russian-apt-hackers-use-device-code-phishing-technique/