مایکروسافت در اواخر دسامبر ۲۰۲۳، نسبت به افزایش فعالیتهای مخرب یک خوشه تهدید جدید که تحت عنوان Storm-0539 برای سازماندهی کلاهبرداری و سرقت کارت هدیه از طریق ایمیلهای بسیار پیچیده و حملات فیشینگ مبتنی بر SMS علیه شرکتهای خرده فروشی در طول فصل خرید تعطیلات ردیابی میکند، هشدار صادر کرد. هدف از این حملات، انتشار لینکهای مخرب میباشد که قربانیان را به صفحات فیشینگ AiTM هدایت میکنند و قادر به جمعآوری گواهیهای اعتبار و توکنهای نشست هستند.
غول فناوری در مجموعهای از پستها در X (توئیتر سابق) اذعان داشت که Storm-0539 پس از دسترسی به نشست اولیه و توکن، دستگاه را برای درخواستهای احراز هویت بعدی، دور زدن حفاظتهای احراز هویت چند عاملی (MFA) و تداوم دسترسی با استفاده از هویت کاملاً هک شده آماده میکند.
Storm-0539، شناسایی گسترده درباره سازمانهای هدف را به منظور ایجاد فریبهای فیشینگ قانعکننده و سرقت اطلاعات کاربری و توکنها برای ایجاد دسترسی اولیه به انجام میرساند. دسترسی ایجاد شده، به منظور افزایش سطح دسترسی، حرکت جانبی در سراسر شبکه و دسترسی به منابع اَبری با هدف جمع آوری اطلاعات حساس و دنبال کردن سرویسهای مرتبط با کارت هدیه برای تسهیل کلاهبرداری مورد استفاده قرار میگیرد. علاوه بر این، Storm-0539 ایمیلها، لیست تماس و پیکربندیهای شبکه را برای حملات بعدی علیه همان سازمان جمعآوری میکند.
ردموند، در گزارش ماهانه Microsoft 365 Defender که در ماه نوامبر منتشر گردید، مهاجم را یک گروه با انگیزه مالی توصیف کرد که حداقل از سال ۲۰۲۱ فعال میباشد.
این افشاگری چند روز پس از آن صورت میپذیرد که این شرکت اعلام کرد که حکم دادگاه برای توقیف زیرساخت یک گروه تبهکار سایبری ویتنامی به نام Storm-1152 که دسترسی به حدود ۷۵۰ میلیون حساب جعلی مایکروسافت و همچنین ابزارهای دور زدن احراز هویت برای سایر پلتفرمهای فناوری را فروخته بود، صادر شده است.
چندین عامل تهدید نیز مشاهده شدهاند که از برنامههای OAuth برای خودکارسازی جرائم سایبری با انگیزه مالی، مانند نفوذ به ایمیل تجاری (BEC)، فیشینگ، کمپینهای ارسال هرزنامه در مقیاس بزرگ و استقرار ماشینهای مجازی برای استخراج غیرقانونی ارزهای دیجیتال سوء استفاده میکنند.
