El miércoles, Microsoft reveló que identificó un conjunto de ataques de ingeniería social altamente dirigidos, llevados a cabo por un actor de amenazas estatal ruso, utilizando señuelos de robo de credenciales en forma de chats de Microsoft Teams. El gigante tecnológico atribuyó estos ataques a un grupo al que sigue la pista llamado "Midnight Blizzard" (anteriormente conocido como Nobelium). También se le conoce como APT29, BlueBravo, Cozy Bear, Iron Hemlock y The Dukes.
"En esta última actividad, el actor de amenazas utiliza inquilinos de Microsoft 365 previamente comprometidos que pertenecen a pequeñas empresas para crear nuevos dominios que aparentan ser entidades de soporte técnico", dijo la compañía. "Utilizando estos dominios de inquilinos comprometidos, Midnight Blizzard utiliza mensajes de Teams para enviar señuelos que intentan robar credenciales de una organización objetivo al interactuar con un usuario y obtener la aprobación de las solicitudes de autenticación de múltiples factores (MFA)".
Microsoft dijo que la campaña, observada desde al menos finales de mayo de 2023, afectó a menos de 40 organizaciones en todo el mundo, abarcando sectores gubernamentales, organizaciones no gubernamentales (ONG), servicios de TI, tecnología, manufactura discreta y medios de comunicación.
Se ha observado que el actor de amenazas utiliza técnicas de robo de tokens para obtener acceso inicial a los entornos objetivo, junto con otros métodos como el spear-phishing de autenticación, el ataque de contraseña múltiple y los ataques de fuerza bruta. Otra característica conocida es su explotación de entornos locales para moverse lateralmente a la nube, así como el abuso de la cadena de confianza de los proveedores de servicios para obtener acceso a clientes secundarios, como se observó en el ataque de SolarWinds en 2020.
En la nueva ronda de ataques vinculados a Midnight Blizzard, se agrega un nuevo subdominio onmicrosoft.com a un inquilino previamente comprometido en ataques, seguido de la creación de un nuevo usuario con ese subdominio para iniciar una solicitud de chat de Teams con posibles objetivos haciéndose pasar por un técnico de soporte técnico o del equipo de Protección de Identidad de Microsoft.
"Si el usuario objetivo acepta la solicitud de mensaje, entonces recibe un mensaje de Microsoft Teams del atacante que intenta convencerlos de ingresar un código en la aplicación Microsoft Authenticator en su dispositivo móvil", explicó Microsoft. Si la víctima sigue las instrucciones, el actor de amenazas recibe un token para autenticarse como el usuario objetivo, lo que permite el secuestro de la cuenta y actividades posteriores después de la compromiso.
"En algunos casos, el actor intenta agregar un dispositivo a la organización como un dispositivo administrado a través de Microsoft Entra ID (anteriormente Azure Active Directory), probablemente como un intento de eludir políticas de acceso condicional configuradas para restringir el acceso a recursos específicos solo a dispositivos administrados", advirtió Microsoft.
Estos hallazgos se producen días después de que se atribuyera al actor de amenazas los ataques de phishing dirigidos a entidades diplomáticas en Europa del Este con el objetivo de entregar una nueva puerta trasera llamada GraphicalProton. También siguen al descubrimiento de varias nuevas vectores de ataque de Azure AD (AAD) Connect que podrían permitir que actores maliciosos creen una puerta trasera indetectable al robar los hash criptográficos de contraseñas mediante la inyección de código malicioso en el proceso de sincronización de hash e interceptar credenciales mediante un ataque de adversario-en-el-medio (AitM).
"Por ejemplo, los atacantes pueden aprovechar la extracción de los hash NT para asegurarse de recibir cada cambio futuro de contraseña en el dominio", dijo Sygnia en un comunicado compartido con The Hacker News. "Los actores de amenazas también pueden usar [Active Directory Certificate Services] para obtener contraseñas de AAD Connector, además de actuar como intermediarios y lanzar ataques contra canales encriptados con SSL en la red aprovechando configuraciones incorrectas en las plantillas de certificados que tienen autenticación de servidor".
¿Quieres saber más?
Comments