Microsoft dice que todavía no sabe cómo los piratas informáticos chinos robaron una clave de firma de consumidor de cuenta Microsoft (MSA) inactiva utilizada para violar las cuentas de Exchange Online y Azure AD de dos docenas de organizaciones, incluidas agencias gubernamentales.
«El método por el cual el actor adquirió la clave es una cuestión de investigación en curso», admitió Microsoft en un nuevo aviso publicado hoy.
El incidente fue reportado por funcionarios del gobierno de los Estados Unidos después del descubrimiento del acceso no autorizado a los servicios de correo electrónico Exchange Online de varias agencias gubernamentales.
Microsoft comenzó a investigar los ataques el 16 de junio y descubrió que un grupo de ciberespionaje chino que rastrea como Storm-0558 violó las cuentas de correo electrónico de aproximadamente 25 organizaciones (según los informes, incluidos los Departamentos de Estado y Comercio de los Estados Unidos).
Los actores de amenazas usaron la clave de firma empresarial de Azure AD robada para forjar nuevos tokens de autenticación aprovechando un error de la API GetAccessTokenForResource, que les proporciona acceso al correo empresarial de los destinos.
Storm-0558 puede usar scripts de PowerShell y Python para generar nuevos tokens de acceso a través de llamadas a la API de REST contra el servicio Almacén de Exchange de OWA para robar correos electrónicos y archivos adjuntos. Sin embargo, Redmond no confirmó si utilizaron este enfoque en los ataques de robo de datos de Exchange Online del mes pasado.
«Nuestra telemetría e investigaciones indican que la actividad posterior al compromiso se limitó al acceso al correo electrónico y la exfiltración para usuarios específicos», agregó Microsoft.
La compañía bloqueó el uso de la clave de firma privada robada para todos los clientes afectados el 3 de julio y dice que la infraestructura de reproducción de tokens de los atacantes se cerró un día después.
Claves de firma de MSA revocadas para bloquear la forja de tokens de Azure AD
El 27 de junio, Microsoft también revocó todas las claves de firma MSA válidas para bloquear todos los intentos de generar nuevos tokens de acceso y movió los recién generados al almacén de claves que utiliza para sus sistemas empresariales.
«No se ha observado ninguna actividad de actores relacionados con la clave desde que Microsoft invalidó la clave de firma MSA adquirida por el actor», dijo Microsoft.
Sin embargo, aunque Redmond ya no ha detectado ninguna actividad maliciosa Storm-0558 relacionada con la clave después de revocar todas las claves de firma MSA activas y mitigar la habilitación de fallas de API, el aviso de hoy dice que los atacantes ahora han cambiado a otras técnicas.
«No se ha observado ninguna actividad de actores relacionados con la clave desde que Microsoft invalidó la clave de firma MSA adquirida por el actor. Además, hemos visto la transición de Storm-0558 a otras técnicas, lo que indica que el actor no puede utilizar o acceder a ninguna clave de firma», dijo Microsoft.
El martes, Microsoft también reveló que el grupo de cibercrimen ruso RomCom explotó un día cero de Office que aún no se ha parcheado en los recientes ataques de phishing contra organizaciones que asistieron a la Cumbre de la OTAN en Vilnius, Lituania.
Los operadores de RomCom utilizaron documentos maliciosos que se hacían pasar por el Congreso Mundial de Ucrania para impulsar y desplegar cargas útiles de malware como el cargador MagicSpell y la puerta trasera RomCom.
Fuente y redacción: underc0de.org
