متهم شدن هکرهای روسی به سوءاستفاده از کد دستگاه مایکروسافت ۳۶۵

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که یک گروه هکری روسی در یک تلاش فیشینگ از روال‌های احراز هویت کد دستگاه برای دریافت اعتبارنامه‌های مایکروسافت ۳۶۵ قربانیان و انجام حملات تصاحب حساب استفاده کردند.

شرکت پروف‌پوینت (Proofpoint) در حال رصد این فعالیت است که از سپتامبر ۲۰۲۵ با نام «UNK_AcademicFlare» در حال انجام است.

این حملات ظاهراً با استفاده از حساب‌های ایمیل هک شده متعلق به گروه‌های نظامی و دولتی، مؤسسات دولتی، اندیشکده‌ها، آموزش عالی و بخش‌های حمل و نقل در ایالات متحده و اروپا انجام شده‌اند.

پروف‌پوینت مدعی شد:

«معمولاً از این آدرس‌های ایمیل هک شده برای انجام ارتباطات و ایجاد ارتباط دوستانه مرتبط با حوزه تخصص اهداف استفاده می‌شود تا در نهایت یک جلسه یا مصاحبه ساختگی ترتیب داده شود.»

هکر اظهار می‌کند که به عنوان بخشی از این تلاش‌ها، گیرنده ایمیل پیوندی به مقاله‌ای با سؤالات یا موضوعاتی برای بررسی قبل از جلسه دریافت می‌کند. این URL قربانی را به یک «URL Worker» مربوط به «Cloudflare» هدایت می‌کند که از حساب کاربری مایکروسافت وان‌درایو فرستنده آلوده تقلید می‌کند و از او می‌خواهد که کد را کپی و برای مشاهده سند مورد نظر، روی «بعدی» کلیک کند.

با این حال، انجام این کار کاربر را به URL ورود به سیستم با کد دستگاه مایکروسافت هدایت می‌کند، جایی که این سرویس یک توکن دسترسی ایجاد می‌کند که 3 عامل می‌توانند پس از وارد کردن کد ارائه شده قبلی، آن را بازیابی و حساب قربانی را تصاحب کنند.

در فوریه 2025، مایکروسافت و «Volexity» گزارش مفصلی در مورد فیشینگ کد دستگاه منتشر کردند و این تکنیک حمله را به گروه‌های مرتبط با روسیه از جمله «Storm-2372»، «APT29»، «UTA0304» و «UTA0307» مرتبط دانستند. در ماه‌های اخیر، Volexity و تیم اطلاعات تهدید آمازون (Amazon) در مورد تلاش‌های مداوم عوامل تهدید روسی که از جریان احراز هویت کد دستگاه سوءاستفاده می‌کنند، هشدارهایی صادر کرده‌اند. با توجه به اینکه UNK_AcademicFlare متخصصان متمرکز بر روسیه در چندین اندیشکده و همچنین دولت اوکراین و مؤسسات بخش انرژی را هدف قرار می‌دهد، پروف‌پوینت نتیجه گرفت که UNK_AcademicFlare احتمالاً یک عامل تهدید مرتبط با روسیه است.

طبق داده‌های این شرکت، تعدادی از عوامل تهدید وابسته به دولت و با انگیزه‌های مالی از تکنیک فیشینگ برای فریب مصرف‌کنندگان جهت دسترسی به حساب‌های مایکروسافت ۳۶۵ استفاده کرده‌اند. این شامل یک باند جرایم الکترونیکی به نام TA2723 می‌شود که کاربران را به صفحات فرود جعلی هدایت و با استفاده از طعمه‌های مرتبط با حقوق در ایمیل‌های فیشینگ، مجوز کد دستگاه را فعال کرده است.

تصور می‌شود که در دسترس بودن محصولات جرم‌افزار مانند کیت فیشینگ «Graphish» و ابزارهای تیم قرمز مانند «SquarePhish» در کمپین اکتبر ۲۰۲۵ نقش داشته است.

پروف‌پوینت اظهار داشت:

«مانند SquarePhish، این ابزار به گونه‌ای طراحی شده که کاربرپسند باشد و نیازی به تخصص فنی پیشرفته نداشته باشد، موانع ورود را کاهش می‌دهد و حتی عوامل تهدید کم‌مهارت را قادر می‌سازد تا کمپین‌های فیشینگ پیچیده‌ای را انجام دهند. هدف نهایی، دسترسی غیرمجاز به داده‌های حساس شخصی یا سازمانی است که می‌تواند برای سرقت اعتبارنامه، تصاحب حساب و نفوذ بیشتر مورد سوءاستفاده قرار گیرد.»

بهترین راه برای مقابله با تهدید فیشینگ کد دستگاه، استفاده از شرط «Authentication Flows» برای ایجاد یک سیاست دسترسی مشروط است که جریان کد دستگاه را برای همه کاربران مسدود می‌کند. اگر این امکان‌پذیر نیست، توصیه می‌شود سیاستی اجرا شود که با استفاده از یک رویکرد لیست مجاز، امکان احراز هویت کد دستگاه را برای کاربران مجاز، سیستم عامل‌ها یا محدوده‌های آی‌پی فراهم کند.