微软警告称,他们正在追踪的名为 Storm-0539 的新兴威胁集群已经出现恶意活动上升趋势。这种威胁通过高度复杂的电子邮件和短信钓鱼攻击,在节假日购物季针对零售实体进行礼品卡欺诈和盗窃。
攻击的目标是传播设有陷阱的链接,将受害者引导至中间人攻击(AiTM)的钓鱼页面,这些页面能够窃取他们的凭据和会话令牌。
在 X(之前的 Twitter)的一系列帖子中,这家科技巨头表示:“在获取初始会话和令牌后,Storm-0539为随后的次要身份验证提示注册了他们自己的设备,绕过了多重因素认证(MFA)保护,并且使用完全被妥协的身份在环境中持续存在。”
通过这种方式获得的立足点进一步作为升级权限的通道,横向移动穿越网络,并访问云资源以获取敏感信息,特别是针对与礼品卡相关的服务,以进行欺诈。
另外,Storm-0539还收集电子邮件、联系人列表和网络配置,用于对同一组织进行后续攻击。这需要加强账户安全措施,以更好地保护组织的凭证和访问权限。
在上个月发布的每月 Microsoft 365 Defender 报告中,Redmond描述这个对手是一个有着经济动机的团体,至少自 2021 年以来一直活跃。
据称,“Storm-0539对目标组织进行了广泛的侦察,以制作极具欺骗性的钓鱼诱饵,并窃取用户凭证和令牌以获取初始访问权限。”
“这个攻击者对云服务提供商很熟悉,并利用目标组织的云服务资源进行攻击后活动。”
微软在宣布获得法院命令,扣押了一个名为 Storm-1152 的越南网络犯罪团伙的基础设施后发布了这一披露。该团伙售卖大约 7.5 亿个欺诈的微软账户以及其他技术平台的身份验证绕过工具。
本周早些时候,微软还警告称,多个黑客正在滥用 OAuth 应用程序,自动化进行金融动机的网络犯罪,如商业电子邮件篡改(BEC)、钓鱼、大规模垃圾邮件活动,并部署虚拟机非法挖掘加密货币。