Threats
Investigadores de segurança identificaram grupos russos a explorar uma funcionalidade legítima da Microsoft para comprometer contas empresariais
20/02/2025
|
Investigadores da Volexity revelaram que múltiplos agentes de ameaça russos estão a conduzir ataques sofisticados de engenharia social e spear-phishing contra contas Microsoft 365, explorando a autenticação de código de dispositivo. Os ataques, que decorrem desde janeiro de 2025, envolvem três grupos distintos: CozyLarch (APT29), UTA0304 e UTA0307. Os atacantes fazem-se passar por funcionários de entidades como o Departamento de Estado dos EUA, o Ministério da Defesa da Ucrânia ou o Parlamento Europeu, e persuadem as vítimas a utilizarem o fluxo de autenticação Device Code da Microsoft. Este mecanismo, normalmente usado para dispositivos IoT e TV inteligentes, está a ser manipulado para permitir acessos não autorizados a contas empresariais. A cadeia de ataque baseia-se na redireção das vítimas para URL legítimos da Microsoft, o que leva a gerar pedidos de autenticação que aparecem nos registos do Entra ID com marcadores específicos, como “authenticationProtocol”: “deviceCode” ou “originalTransferMethod”: “deviceCodeFlow”. O grupo UTA0307, por exemplo, tem utilizado a aplicação Microsoft Teams para facilitar os ataques. Uma das campanhas mais notáveis envolveu o UTA0304, que recorreu a um servidor Element personalizado (sen-comms[.]com) para coordenar as interações com as vítimas em tempo real, garantindo que os códigos de autenticação fossem inseridos dentro do período de validade de 15 minutos. Para evitar deteção, os atacantes recorrem a redes Tor, VPNs como Mullvad e servidores VPS para aceder às contas comprometidas. Especialistas recomendam que as organizações adotem políticas de acesso condicional para bloquear a autenticação de código de dispositivo, além de monitorizarem os registos de entrada para identificar padrões suspeitos. O sucesso destas campanhas deve-se ao facto de explorarem infraestruturas legítimas da Microsoft, dificultando a deteção por mecanismos tradicionais de segurança. Para mitigar os riscos, as empresas devem avaliar a necessidade deste método de autenticação, implementar medidas de monitorização e atualizar as formações de consciencialização dos colaboradores para abranger este novo vetor de ataque. |
Receba todas as novidades na sua caixa de correio!
EXPERT
Cibersegurança: o longo caminho da transposição da NIS2
OPINION
Novo Regime Jurídico de Cibersegurança: mais obrigações, mais resiliência
THREATS
Campanha de extensões maliciosas do Chrome afeta mais de 3,2 milhões de utilizadores
THREATS
Cibercriminosos recorrem a truques e manipulação de URL para roubar credenciais
THREATS
Check Point alerta para crescimento exponencial de phishing em português com IA
THREATS
Adoção de IA generativa da DeepSeek aumenta ciberameaças
THREATS
Campanha de extensões maliciosas do Chrome afeta mais de 3,2 milhões de utilizadores
THREATS
Cibercriminosos recorrem a truques e manipulação de URL para roubar credenciais
THREATS
CISA confirma vulnerabilidade crítica no Microsoft Partner Center
THREATS
Cibercriminosos exploram redes em menos de quatro horas e meia
