Hacking
Ρώσοι χάκερ εκμεταλλεύονται το Microsoft 365 για επιθέσεις phishing
Χάκερ συνδεδεμένοι με τη Ρωσία χρησιμοποιούν το Microsoft 365 σε επιθέσεις phishing, κλέβοντας διαπιστευτήρια μέσω κωδικών συσκευής.
Η νέα απειλή στον κυβερνοχώρο
Μια ύποπτη ομάδα χάκερ που συνδέεται με τη Ρωσία έχει εντοπιστεί να χρησιμοποιεί μια εκστρατεία phishing που εκμεταλλεύεται τις διαδικασίες πιστοποίησης συσκευών για να κλέψει διαπιστευτήρια του Microsoft 365 και να αποκτήσει πρόσβαση σε λογαριασμούς χρηστών. Αυτή η δραστηριότητα παρακολουθείται από την Proofpoint με την ονομασία UNK_AcademicFlare και έχει ξεκινήσει από τον Σεπτέμβριο του 2025.
Πως λειτουργεί η επίθεση
Οι επιθέσεις αυτές χρησιμοποιούν παραβιασμένες διευθύνσεις email που ανήκουν σε κυβερνητικούς και στρατιωτικούς οργανισμούς για να στοχεύσουν φορείς στις ΗΠΑ και την Ευρώπη, περιλαμβάνοντας κυβερνήσεις, think tanks, πανεπιστήμια και τον τομέα των μεταφορών. Συνήθως, οι παραβιασμένες διευθύνσεις χρησιμοποιούνται για να δημιουργηθεί μια φαινομενικά αθώα επικοινωνία και να κτιστεί εμπιστοσύνη με τους στόχους, προκειμένου να διευθετηθεί μια πλασματική συνάντηση ή συνέντευξη.
Η τεχνική της επίθεσης
Σε αυτές τις προσπάθειες, οι επιτιθέμενοι ισχυρίζονται ότι στέλνουν έναν σύνδεσμο σε ένα έγγραφο που περιλαμβάνει ερωτήσεις ή θέματα για τον παραλήπτη του email να εξετάσει πριν από τη συνάντηση. Ο σύνδεσμος οδηγεί σε μια διεύθυνση Cloudflare Worker που μιμείται τον λογαριασμό Microsoft OneDrive του παραβιασμένου αποστολέα και καθοδηγεί το θύμα να αντιγράψει τον παρεχόμενο κωδικό και να πατήσει “Επόμενο” για να αποκτήσει πρόσβαση στο υποτιθέμενο έγγραφο.
Η πραγματική απειλή
Ωστόσο, η διαδικασία αυτή ανακατευθύνει τον χρήστη στη νόμιμη διεύθυνση σύνδεσης με κωδικό συσκευής της Microsoft, όπου, μόλις εισαχθεί ο προηγουμένως παρεχόμενος κωδικός, το σύστημα δημιουργεί ένα access token που οι επιτιθέμενοι μπορούν να ανακτήσουν για να πάρουν τον έλεγχο του λογαριασμού του θύματος.
Προηγούμενες και συνεχιζόμενες επιθέσεις
Η Microsoft και η Volexity είχαν καταγράψει λεπτομερώς την τεχνική αυτή τον Φεβρουάριο του 2025, αποδίδοντας τη χρήση της σε ρωσικές ομάδες όπως οι Storm-2372, APT29, UTA0304, και UTA0307. Τους τελευταίους μήνες, η Amazon Threat Intelligence και η Volexity προειδοποίησαν για συνεχιζόμενες επιθέσεις από ρωσικούς απειλητικούς παράγοντες που εκμεταλλεύονται αυτή τη ροή πιστοποίησης.
Γιατί έχει σημασία
Η εκστρατεία του Οκτωβρίου 2025 φαίνεται να έχει ενισχυθεί από την εύκολη διαθεσιμότητα εργαλείων όπως το κιτ phishing Graphish και τα εργαλεία red-team όπως το SquarePhish. Αυτά τα εργαλεία είναι σχεδιασμένα να είναι φιλικά προς το χρήστη και δεν απαιτούν προηγμένες τεχνικές γνώσεις, μειώνοντας το εμπόδιο εισόδου και επιτρέποντας ακόμη και σε λιγότερο καταρτισμένους απειλητικούς παράγοντες να διεξάγουν εξελιγμένες επιθέσεις phishing.
Προστασία από τις επιθέσεις
Για την αντιμετώπιση του κινδύνου από το phishing με κωδικό συσκευής, η καλύτερη επιλογή είναι να δημιουργηθεί μια πολιτική Conditional Access χρησιμοποιώντας την προϋπόθεση Authentication Flows για να μπλοκαριστεί η ροή κωδικών συσκευής για όλους τους χρήστες. Αν αυτό δεν είναι εφικτό, συνιστάται η χρήση μιας πολιτικής που επιτρέπει την πιστοποίηση με κωδικό συσκευής μόνο για εγκεκριμένους χρήστες, λειτουργικά συστήματα ή εύρη IP.
