俄罗斯黑客组织Storm-2372又出阴招——这次他们盯上了企业账户的“最后一道防线”:多因素认证(MFA)。安全公司SOCRadar最新报告揭露,这个与俄官方关联的高级威胁团伙,竟能跳过密码验证,直接窃取微软邮箱长达三个月的访问权限。更令人不安的是,他们的目标直击要害:政府、科技巨头、金融机构、军工企业……
“设备授权”变“假通行证”?
想象一下:你收到一封“微软登录提醒”邮件,要求输入设备代码完成验证。页面看起来毫无破绽,你照做了。但下一秒,黑客已拿到你账户的“长期签证”——无需密码,甚至无需实时监控。
这正是Storm-2372的“动态设备代码钓鱼”手法。他们利用Azure云服务搭建高仿登录页,诱导用户输入由黑客后台生成的虚假设备代码。一旦中招,攻击者不仅能瞬间登录,还能通过“刷新令牌”维持长达90天的访问权限。更狡猾的是,他们借助CORS-Anywhere工具伪造页面显示,连浏览器都难辨真假。
从“15分钟快闪”到“持久战”
早期的设备代码钓鱼像一场限时赌博:黑客生成的代码仅15分钟有效,若用户未及时点击即告失败。但Storm-2372升级了玩法——每次用户访问伪造页面时,系统自动生成新代码,配合伪造的微软登录界面,成功率直线飙升。
研究人员发现,该团伙尤其偏好高价值目标:美国、乌克兰的政府机构,德国军工企业,乃至澳大利亚医疗系统均遭渗透。攻击范围横跨欧美亚,俨然一场无声的跨国暗战。
为何传统防御集体失效?
“问题出在信任链上。”安全专家指出,MFA本应成为终极防线,但Storm-2372直接绕过密码环节,利用用户对“官方流程”的信任实施诱导。更棘手的是,攻击全程无需恶意软件,传统防火墙和杀毒软件完全无法识别。
企业如何破局?
-
警惕“非典型”验证请求:微软等平台极少主动要求用户手动输入设备代码,此类邮件需立即核实。
-
限制令牌有效期:将OAuth令牌的存活时间从默认90天缩短至数小时,减少被长期劫持的风险。
-
启用上下文感知系统:通过AI分析登录地点、设备指纹等异常行为,实时阻断可疑访问。
-
全员“反钓鱼演习”:模拟攻击测试员工反应,尤其针对高管和IT部门进行定向培训。
原文始发于微信公众号(雾都的猫):当心!新型钓鱼攻击正绕过你的双重验证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论