ロシアの脅威アクターがMicrosoftデバイスコード認証を悪用した大規模攻撃
2025-02-15
Volexityは、複数のロシアの脅威アクターが、高度なソーシャルエンジニアリングとスピアフィッシングキャンペーンを使用して、デバイスコード認証フィッシングを介してMicrosoft 365アカウントを侵害していることを明らかにしました。これらの攻撃は、あまり知られていないデバイスコード認証ワークフローを利用しているため、ユーザーがフィッシングと認識するのが困難です。キャンペーンは、多くの場合、政治的なテーマ(例:米国政府への焦点を当てている)を持ち、米国務省やウクライナ国防省などの組織の個人になりすまし、被害者を偽のMicrosoft Teams会議やアプリケーションアクセスに誘導します。Volexityは、3つの脅威アクターを追跡しており、その1つはCozyLarch(DarkHalo、APT29と重複)に関連している可能性があります。この攻撃の有効性は、デバイスコード認証へのユーザーの不慣れさを利用し、従来のセキュリティ対策を回避することにあります。Volexityは、組織が条件付きアクセスポリシーを使用してデバイスコード認証をブロックし、ユーザーのセキュリティ意識向上トレーニングを強化することを推奨しています。
テクノロジー
ロシアのハッカー