微软警告称,一个新出现的威胁集群的恶意活动正在增加。该集群被追踪为Storm-0539,在假日购物季通过针对零售实体的高度复杂的电子邮件和短信网络钓鱼攻击策划礼品卡欺诈和盗窃。
攻击的目标是传播诱杀链接,将受害者引导到能够获取其凭据和会话令牌的中间对手(AiTM)网络钓鱼页面。
这家科技巨头在X(前身为推特)上的一系列帖子中表示:“在获得初始会话和令牌的访问权限后,Storm-0539会注册自己的设备。以进行后续的二次身份验证提示,绕过MFA保护,使用完全受损的身份在环境中持久存在。”。
以这种方式获得的立足点进一步充当了提升特权、在网络中横向移动和访问云资源以获取敏感信息的渠道,特别是追查礼品卡相关服务以促进欺诈。
除此之外,Storm-059还收集电子邮件、联系人列表和网络配置,以应对针对同一组织的后续攻击,这就需要强有力的凭据卫生实践。
Redmond在上个月发布的微软365 Defender月度报告中,将该对手描述为一个至少自2021年以来一直活跃的出于经济动机的团体。
“Storm-0539对目标组织进行了广泛的侦察,以制造令人信服的网络钓鱼诱饵,并窃取用户凭据和代币进行初始访问,”该公司表示。
“参与者精通云提供商,并利用目标组织云服务的资源进行妥协后活动。”
几天前,该公司表示,已获得法院命令,扣押一个名为Storm-1152的越南网络犯罪集团的基础设施,该集团出售了约7.5亿个欺诈性微软账户的访问权限,以及其他技术平台的身份验证绕过工具。
本周早些时候,微软还警告称。多个威胁行为者正在滥用OAuth应用程序,以自动化出于经济动机的网络犯罪,如商业电子邮件泄露(BEC)、网络钓鱼、大规模垃圾邮件活动,以及部署虚拟机非法挖掘加密货币。
原文链接:https://thehackernews.com/2023/12/microsoft-warns-of-storm-0539-rising.html
相关教程
2023-06-06
2023-10-22
2023-08-18
2023-06-06
2023-05-09
2023-05-16
2023-03-29
2023-05-31
2023-05-05
2023-06-01
2024-11-18
2024-11-18
2024-11-16
2024-11-16
2024-11-15
2024-11-14