Simulation Træning Monitorering Virksomheden Ressourcer Blog Priser Kontakt
Prøv det gratis Log ind

Den russiske APT-gruppe Storm-2372 omgår MFA

Den russiske APT-gruppe Storm-2372 omgår MFA ved hjælp af enhedskode-phishing. Læs, hvordan legitime loginflows udnyttes

15-04-2025 - 5 minutters læsning. Under kategorien: cybercrime.

Den russiske APT-gruppe Storm-2372 omgår MFA

Storm-2372 udnytter enhedskoder til at omgå multifaktorgodkendelse

Cyberkriminelle bliver stadig mere kreative i deres forsøg på at omgå sikkerhedssystemer – selv dem, vi normalt anser for at være blandt de mest pålidelige. Den russisk-støttede hackergruppe Storm-2372 står bag en ny phishingkampagne, hvor de omgår multifaktorgodkendelse (MFA) og får adgang til Microsoft-konti ved at udnytte brugernes tillid til velkendte login-processer.

Angrebstypen, kendt som device code phishing, er både snedig og effektiv. Den foregår gennem legitime loginflows og udnytter, at brugerne uden at vide det selv godkender angribernes adgang.

Når phishing foregår gennem legitime systemer

I modsætning til traditionelle phishingangreb, der benytter falske login-sider, udnytter denne metode ægte Microsoft-infrastruktur. Ofrene modtager e-mails eller sms’er, som fremstår troværdige og ser ud til at komme fra kendte eller pålidelige afsendere. Beskeden beder modtageren om at logge ind eller bekræfte deres identitet.

Når brugeren klikker på linket, bliver de sendt til en login-side, der til forveksling ligner Microsofts officielle hjemmeside. I nogle tilfælde er siden faktisk hostet via Microsofts egne cloud-tjenester. Her vises en enhedskode, og brugeren bliver bedt om at indtaste den på Microsofts rigtige login-portal.

Det, brugeren ikke ved, er, at enhedskoden er oprettet af angriberen. Når den bliver indtastet, godkender brugeren uforvarende angriberens adgang. Det betyder, at angriberen kan logge ind på kontoen uden at kende adgangskoden og uden at MFA bliver aktiveret – fordi systemet tolker loginforsøget som legitimt.

En mere avanceret version af et velkendt trick

Storm-2372 har videreudviklet en phishingmetode, som tidligere var begrænset af enhedskoder med kort levetid. I de første versioner af angrebet havde hackerne kun et meget lille tidsvindue til at narre brugeren, før koden udløb.

For at omgå denne begrænsning anvender Storm-2372 dynamiske phishing-sider, som genererer nye koder i realtid, hver gang en bruger besøger siden. Disse sider er ofte bygget ved hjælp af tjenester som Azure Web Apps. I nogle tilfælde benyttes værktøjer som CORS-Anywhere til at få Microsofts loginproces til at fremstå fuldt integreret i den falske side.

Resultatet er et mere troværdigt angreb, der har større chance for at lykkes. Brugeren oplever en loginproces, der virker helt legitim, og fordi alt foregår via ægte infrastruktur, bliver det sjældent opdaget af traditionelle sikkerhedsværktøjer.

Hvem står bag angrebet?

Storm-2372 betragtes som en statsstøttet hackergruppe med tilknytning til den russiske efterretningstjeneste. Gruppen retter sig primært mod organisationer med høj strategisk værdi, herunder offentlige myndigheder, infrastrukturoperatører og forskningsinstitutioner. I stedet for at gå efter økonomisk gevinst fokuserer Storm-2372 på vedvarende adgang og systematisk dataindsamling.

Når først hackeren har opnået adgang, kan stjålne adgangstokens bruges til at bevæge sig mellem systemer, udtrække følsomme oplysninger eller bevare adgang i det skjulte over længere tid. I mange tilfælde forbliver disse tokens gyldige i flere uger eller måneder, afhængigt af hvordan organisationens sikkerhed er konfigureret.

Dyk ned i, hvordan statsstøttede hackergrupper opererer, og hvad deres angreb betyder for global cybersikkerhed? Vi har skrevet en artikel, der gennemgår emnet i detaljer.

Derfor er metoden så effektiv

Phishing med enhedskode adskiller sig fra klassiske angreb ved netop ikke at udløse de sædvanlige advarselslamper. Brugerne bliver ikke bedt om at indtaste deres oplysninger på en falsk side. I stedet interagerer de med velkendte systemer på en måde, der virker fuldstændig legitim og rutinemæssig.

Der er ingen mistænkelige URL’er, ingen stavefejl og ingen tydelige tegn på, at noget er galt. Netop derfor er teknikken så farlig. Den udnytter vores tillid til systemerne omkring os.

For sikkerhedsteams skaber det en særlig udfordring. Mange værktøjer og procedurer er designet til at identificere klassiske phishingteknikker som falske domæner eller skadelige filer. Når angrebet foregår via legitime loginflows, bliver det langt sværere at opdage i tide.

Hvad organisationer kan gøre

Selvom metoden er avanceret, findes der flere effektive tiltag, som organisationer kan tage for at minimere risikoen.

Det starter med bevidsthed. Medarbejdere skal klædes på til at genkende mistænkelige loginforsøg – især dem, der involverer enhedskoder eller uventede bekræftelsesanmodninger. En vigtig tommelfingerregel er, at enhedskoder kun bør bruges, når brugeren selv har initieret loginprocessen.

Derudover bør virksomheder implementere betinget adgang, hvor loginforsøg vurderes ud fra faktorer som enhedstype, geografisk placering og brugeradfærd. Løbende overvågning og gennemgang af OAuth-aktivitet og token-brug kan også afsløre usædvanlige mønstre, der indikerer et muligt brud.

Ved at begrænse levetiden for adgangs- og refresh-tokens kan man desuden forkorte den periode, hvor en hacker kan misbruge adgangen, hvis kompromittering sker.

Se fremad

Storm-2372’s kampagne viser tydeligt, hvordan phishing har udviklet sig til en langt mere avanceret og vanskeligere trussel at opdage. Hackerne er ikke længere afhængige af primitive kopier af login-sider. I stedet udnytter de legitime værktøjer på måder, de ikke var tænkt til, og forvandler ellers almindelige loginflows til indgangsporte for spionage.

Det gør angreb som dette særligt alvorlige, fordi de omgår multifaktorgodkendelse – en sikkerhedsfunktion, der netop skal forhindre uautoriseret adgang, selv når adgangskoder er blevet lækket. Når MFA kan omgås, undermineres en af de vigtigste søjler i moderne kontosikkerhed. Hvis du vil blive klogere på, hvordan multifaktorgodkendelse fungerer, og hvorfor det er så afgørende, kan du læse vores guide til MFA.

Hos Moxso hjælper vi organisationer med at opbygge et stærkere forsvar baseret på mennesker. Gennem awareness-træning og phishing-simuleringer styrker vi det menneskelige sikkerhedslag og klæder medarbejdere på til at spotte selv de mest avancerede trusler. På den måde sikrer vi, at virksomheder er rustet til en trusselsverden i konstant forandring.

Forfatter Sarah Krarup

Sarah Krarup

Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.

Se alle indlæg af Sarah Krarup

Lignende indlæg

Hvad er anti-malware?
malware

Hvad er anti-malware?

Anti-malware er en type softwareprogram, der er designet til at beskytte IT-systemer og computere mod malware ved at scanne computersystemer regelmæssigt.

05-12-2022 · 4 min.
Imiteringsangreb - hvem, hvad og hvordan?
cybercrime

Imiteringsangreb - hvem, hvad og hvordan?

Her kan du læse om hvad imiteringsangreb er, hvad du skal være opmærksom på for at spotte dem, og hvad ud skal gøre når du opdager det.

08-02-2023 · 5 min.
Konkrete eksempler på indhold i phishing-mails
phishing

Konkrete eksempler på indhold i phishing-mails

Du får her en beskrivelse af phishing og konkrete eksempler på, hvad phishing-e-mails kan indeholde, så du ved hvad du skal holde øje med i din indbakke.

06-03-2022 · 5 min.