Microsoft reveló el miércoles que identificó un conjunto de ataques de ingeniería social altamente dirigidos montados por un actor de amenazas de un estado-nación ruso utilizando señuelos de phishing de robo de credenciales enviados como chats de Microsoft Teams.
El gigante tecnológico atribuyó los ataques a un grupo al que rastrea como Midnight Blizzard (anteriormente Nobelium). También se llama APT29, BlueBravo, Cozy Bear, Iron Hemlock y The Dukes.
«En esta última actividad, el actor de amenazas utiliza inquilinos de Microsoft 365 previamente comprometidos propiedad de pequeñas empresas para crear nuevos dominios que aparecen como entidades de soporte técnico», dijo la compañía .
«Mediante el uso de estos dominios de inquilinos comprometidos, Midnight Blizzard aprovecha los mensajes de Teams para enviar señuelos que intentan robar credenciales de una organización objetivo al involucrar a un usuario y obtener la aprobación de las solicitudes de autenticación de múltiples factores (MFA)».
Microsoft dijo que la campaña, observada desde al menos finales de mayo de 2023, afectó a menos de 40 organizaciones a nivel mundial que abarcan sectores gubernamentales, organizaciones no gubernamentales (ONG), servicios de TI, tecnología, fabricación discreta y medios.
Se ha observado que el actor de amenazas utiliza técnicas de robo de tokens para el acceso inicial a entornos específicos, junto con otros métodos como el phishing de autenticación, el rociado de contraseñas y los ataques de fuerza bruta.
Otro sello distintivo conocido es su explotación de entornos locales para moverse lateralmente a la nube, así como el abuso de la cadena de confianza de los proveedores de servicios para obtener acceso a clientes intermedios, como se observó en el hackeo de SolarWinds de 2020 .
En la nueva ronda de ataques vinculados a Midnight Blizzard, se agrega un nuevo subdominio onmicrosoft.com a un inquilino previamente comprometido en ataques, seguido de la creación de un nuevo usuario con ese subdominio para iniciar una solicitud de chat de Teams con objetivos potenciales haciéndose pasar por un técnico persona de soporte o el equipo de Protección de Identidad de Microsoft.
«Si el usuario objetivo acepta la solicitud de mensaje, el usuario recibe un mensaje de Microsoft Teams del atacante que intenta convencerlo de que ingrese un código en la aplicación Microsoft Authenticator en su dispositivo móvil», explicó Microsoft.
Si la víctima sigue las instrucciones, el autor de la amenaza recibe un token para autenticarse como el usuario objetivo, lo que permite la toma de control de la cuenta y la actividad de seguimiento posterior al compromiso.
«En algunos casos, el actor intenta agregar un dispositivo a la organización como un dispositivo administrado a través de Microsoft Entra ID (anteriormente Azure Active Directory), probablemente un intento de eludir las políticas de acceso condicional configuradas para restringir el acceso a recursos específicos solo a dispositivos administrados, Microsoft advirtió.
Los hallazgos se producen días después de que se atribuyera al actor de amenazas los ataques de phishing dirigidos a entidades diplomáticas en toda Europa del Este con el objetivo de entregar una nueva puerta trasera llamada GraphicalProton .
También siguen el descubrimiento de varios nuevos vectores de ataque de Azure AD (AAD) Connect que podrían permitir a los ciberdelincuentes maliciosos crear una puerta trasera indetectable robando hashes criptográficos de contraseñas inyectando código malicioso en un proceso de sincronización de hash e interceptando credenciales por medio de un adversario. Ataque en el medio (AitM).
«Por ejemplo, los atacantes pueden aprovechar la extracción de hashes de NT para asegurarse de recibir cada cambio futuro de contraseña en el dominio», dijo Sygnia en un comunicado compartido con The Hacker News.
«Los actores de amenazas también pueden usar [Servicios de certificados de Active Directory] para obtener contraseñas de AAD Connector, así como servir como intermediarios y lanzar ataques contra canales cifrados con SSL en la red al explotar configuraciones incorrectas en plantillas de certificados que tienen autenticación del servidor».
Fuente y redacción: thehackernews.com
