在 X（之前的 Twitter）的一系列帖子中，这家科技巨头表示：“在获取初始会话和令牌后，Storm-0539为随后的次要身份验证提示注册了他们自己的设备，绕过了多重因素认证（MFA）保护，并且使用完全被妥协的身份在环境中持续存在。”

通过这种方式获得的立足点进一步作为升级权限的通道，横向移动穿越网络，并访问云资源以获取敏感信息，特别是针对与礼品卡相关的服务，以进行欺诈。

另外，Storm-0539还收集电子邮件、联系人列表和网络配置，用于对同一组织进行后续攻击。这需要加强账户安全措施，以更好地保护组织的凭证和访问权限。

在上个月发布的每月 Microsoft 365 Defender 报告中，Redmond描述这个对手是一个有着经济动机的团体，至少自 2021 年以来一直活跃。

据称，“Storm-0539对目标组织进行了广泛的侦察，以制作极具欺骗性的钓鱼诱饵，并窃取用户凭证和令牌以获取初始访问权限。”

“这个攻击者对云服务提供商很熟悉，并利用目标组织的云服务资源进行攻击后活动。”

微软在宣布获得法院命令，扣押了一个名为 Storm-1152 的越南网络犯罪团伙的基础设施后发布了这一披露。该团伙售卖大约 7.5 亿个欺诈的微软账户以及其他技术平台的身份验证绕过工具。

本周早些时候，微软还警告称，多个黑客正在滥用 OAuth 应用程序，自动化进行金融动机的网络犯罪，如商业电子邮件篡改（BEC）、钓鱼、大规模垃圾邮件活动，并部署虚拟机非法挖掘加密货币。