Microsoft ha recentemente segnalato una nuova minaccia informatica, identificata come Storm-2372, che ha preso di mira diversi settori da agosto 2024. Questa campagna di attacchi ha colpito governi, organizzazioni non governative, servizi IT, difesa, telecomunicazioni, sanità, istruzione superiore e settori energetici in Europa, Nord America, Africa e Medio Oriente. Gli attaccanti, ritenuti in parte affiliati a interessi russi, utilizzano una tecnica di phishing nota come "device code phishing" per ingannare gli utenti e ottenere accesso ai loro account.

Gli attacchi avvengono attraverso app di messaggistica come WhatsApp, Signal e Microsoft Teams, dove gli attaccanti si fingono persone influenti per guadagnare la fiducia delle vittime. Una volta instaurata la fiducia, inviano email di phishing che sembrano inviti a riunioni su Microsoft Teams. Questi inviti contengono un codice dispositivo che, una volta inserito dalle vittime, permette agli hacker di ottenere i token di accesso necessari per compromettere gli account.

L'obiettivo degli attaccanti è accedere agli account delle vittime utilizzando i codici di autenticazione ottenuti, rubare dati sensibili e mantenere l'accesso finché i token sono validi. Questa tecnica consente loro di spostarsi all'interno del network inviando messaggi di phishing interni da account compromessi e utilizzando il servizio Microsoft Graph per cercare email contenenti parole chiave specifiche come "username", "password" e "credentials". Le email corrispondenti vengono poi esfiltrate dagli attaccanti.

Per mitigare il rischio di questi attacchi, Microsoft raccomanda alle organizzazioni di bloccare il flusso di codice dispositivo, abilitare autenticazione multifattoriale resistente al phishing e seguire il principio del minimo privilegio. Inoltre, è stato osservato che Storm-2372 ha iniziato a utilizzare un ID client specifico per ottenere token di aggiornamento che permettono di registrare dispositivi controllati dagli attori nel servizio di registrazione dispositivi, utilizzati poi per raccogliere email.

Un'ulteriore analisi da parte della società di sicurezza Volexity ha rilevato che almeno tre diversi gruppi di attaccanti russi stanno conducendo campagne di spear-phishing utilizzando questo metodo per compromettere account Microsoft 365. Alcune email sono state identificate come inviate da account che impersonano individui appartenenti a istituzioni prominenti come il Dipartimento di Stato degli Stati Uniti e il Parlamento dell'Unione Europea. Tra i gruppi coinvolti, uno è sospettato di essere APT29, noto anche come Cozy Bear, mentre gli altri due sono stati denominati UTA0304 e UTA0307.