Microsoft ha revelado detalles de una campaña de phishing multifase a gran escala que utiliza credenciales robadas para registrar dispositivos en la red de una víctima para propagar aún más los correos electrónicos no deseados y ampliar el grupo de infecciones.
El gigante tecnológico dijo que los ataques se manifestaron a través de cuentas que no estaban protegidas mediante autenticación multifactor (MFA), lo que hace posible que el adversario aproveche la política de «Traiga su propio dispositivo» (Dispositivos no autorizados que utilizan las credenciales robadas) e introduzca su propia política.
Los ataques se produjeron en dos etapas. «La primera fase de la campaña involucró el robo de credenciales en organizaciones objetivo ubicadas predominantemente en Australia, Singapur, Indonesia y Tailandia», dijo el equipo de inteligencia de amenazas de Microsoft 365 Defender en un informe técnico publicado esta semana.
«Luego, las credenciales robadas se aprovecharon en la segunda fase, en la que los atacantes usaron cuentas comprometidas para expandir su posición dentro de la organización a través del phishing lateral, así como más allá de la red a través del spam saliente».
La campaña comenzó cuando los usuarios recibieron un señuelo de phishing con la marca DocuSign que contenía un enlace que, al hacer clic, redirigía al destinatario a un sitio web falso que se hacía pasar por la página de inicio de sesión de Office 365 para robar las credenciales.
El robo de credenciales no solo resultó en el compromiso de más de 100 buzones de correo en diferentes compañías, sino que también permitió a los atacantes implementar una regla de bandeja de entrada para frustrar la detección. Luego, a esto le siguió una segunda ola de ataques que abusó de la falta de protecciones MFA para inscribir un dispositivo Windows no administrado en la instancia de Azure Active Directory (AD) de la empresa y difundir los mensajes maliciosos.
Al conectar el dispositivo controlado por el atacante a la red, la técnica novedosa hizo viable expandir el punto de apoyo de los atacantes, propagar el ataque de forma encubierta y moverse lateralmente a través de la red objetivo.
«Para lanzar la segunda ola, los atacantes aprovecharon el buzón de correo comprometido del usuario objetivo para enviar mensajes maliciosos a más de 8500 usuarios, tanto dentro como fuera de la organización víctima», dijo Microsoft. «Los correos electrónicos usaban un señuelo de invitación para compartir de SharePoint como cuerpo del mensaje en un intento de convencer a los destinatarios de que el archivo ‘Payment.pdf’ que se estaba compartiendo era legítimo».
El desarrollo se produce cuando los ataques de ingeniería social basados en correo electrónico continúan siendo el medio más dominante para atacar a las empresas para obtener la entrada inicial y colocar malware en los sistemas comprometidos.
A principios de este mes, Netskope Threat Labs reveló una campaña maliciosa atribuida al grupo OceanLotus que eludió las detecciones basadas en firmas mediante el uso de tipos de archivos no estándar, como archivos adjuntos de archivos web (.MHT), para implementar malware que roba información.
Además de activar MFA, implementar las mejores prácticas, como una buena higiene de credenciales y segmentación de red, puede «aumentar el ‘costo’ para los atacantes que intentan propagarse a través de la red».
“Estas mejores prácticas pueden limitar la capacidad de un atacante para moverse lateralmente y comprometer los activos después de la intrusión inicial y deben complementarse con soluciones de seguridad avanzadas que brinden visibilidad en todos los dominios y coordinen los datos de amenazas en todos los componentes de protección”, agregó Microsoft.