تحذر Microsoft من زيادة في الأنشطة الخبيثة باسم Storm-0539 لتنظيم احتيال بطاقات الهدايا والسرقة من خلال هجمات احتيال عبر البريد الإلكتروني والرسائل النصية معقدة خلال موسم التسوق في العطلات.
هدف الهجمات هو نشر روابط مفخخة توجه الضحايا إلى صفحات احتيالية في وسط الخصم (AiTM) قادرة على جمع رموز الولوج الخاصة بهم.
"بعد الوصول إلى جلسة ورمز أوليين، يقوم Storm-0539 بتسجيل جهازهم الخاص للتحقق الثانوي اللاحق، متجاوزًا حمايات MFA والاستمرار في البيئة باستخدام الهوية المكتملة بشكل كامل"، قالت الشركة التكنولوجية في سلسلة من المشاركات على X (المعروفة سابقًا باسم Twitter).
القاعدة التي تم الحصول عليها بهذه الطريقة تعمل كقناة لتصعيد الامتيازات، والتحرك جانبيًا عبر الشبكة، والوصول إلى الموارد السحابية لاستخراج معلومات حساسة، مستهدفة خدمات بطاقات الهدايا بشكل خاص لتسهيل الاحتيال.
بالإضافة إلى ذلك، يقوم Storm-0539 بجمع الرسائل الإلكترونية وقوائم الاتصال وتكوينات الشبكة للقيام بهجمات لاحقة ضد نفس المنظمات، مما يفرض الحاجة إلى ممارسات قوية لنظافة الاعتماد.
في تقريرها الشهري الصادر الشهر الماضي، وصفت Redmond الخصم باعتباره مجموعة ذات دافع مالي كانت نشطة منذ عام 2021 على الأقل.
"يقوم Storm-0539 بتنفيذ استطلاع واسع النطاق للمؤسسات المستهدفة لتصميم نماذج احتيال مقنعة وسرقة اعتمادات المستخدم ورموز الوصول الأولي"، قالت الشركة.
"الفاعل ملم بمزودي الخدمات السحابية ويستغل موارد خدمات السحابة الخاصة بالمؤسسة المستهدفة لأنشطة ما بعد الاختراق."
تأتي هذه الإفصاحات بعد أيام من إعلان الشركة أنها حصلت على أمر قضائي لمصادرة بنية البنية التحتية لمجموعة قراصنة فيتنامية تُدعى Storm-1152 التي باعت الوصول إلى حوالي 750 مليون حساب Microsoft مزيف بالإضافة إلى أدوات تجاوز التحقق من الهوية لمنصات تكنولوجيا أخرى.
في وقت سابق هذا الأسبوع، حذرت Microsoft أيضًا من أن عدة فاعلين يستغلون تطبيقات OAuth لتأتيم جرائم الجريمة السيبرانية ذات الدافع المالي، مثل الاحتيال في رسائل البريد الإلكتروني للأعمال، والصيد، وحملات البريد العشوائي على نطاق واسع، ونشر آلات افتراضية لتعدين العملات المشفرة بشكل غير مشروع.