Microsoft revela cómo hackers violaron sus cuentas de Exchange Online

Iniciado por AXCESS, Enero 26, 2024, 11:25:49 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 26, 2024, 11:25:49 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft confirmó que el grupo de hackers del Servicio de Inteligencia Exterior de Rusia, que hackeó las cuentas de correo electrónico de sus ejecutivos en noviembre de 2023, también violó otras organizaciones como parte de esta campaña maliciosa.

Se cree que Midnight Blizzard (también conocido como Nobelium o APT29) es un grupo de ciberespionaje respaldado por el estado y vinculado al Servicio de Inteligencia Exterior de Rusia (SVR), que apunta principalmente a organizaciones gubernamentales, ONG, desarrolladores de software y proveedores de servicios de TI en Estados Unidos y Europa.

El 12 de enero de 2024, Microsoft descubrió que los piratas informáticos rusos violaron sus sistemas en noviembre de 2023 y robaron correos electrónicos de sus equipos de liderazgo, ciberseguridad y legales. Algunos de estos correos electrónicos contenían información sobre el propio grupo de hackers, lo que permitió a los actores de amenazas saber lo que Microsoft sabía sobre ellos.

Microsoft ahora explica que los actores de amenazas utilizaron servidores proxy residenciales y ataques de fuerza bruta de "rociado de contraseñas" para apuntar a una pequeña cantidad de cuentas, siendo una de estas cuentas una "cuenta de inquilino de prueba heredada que no es de producción".

"En esta actividad observada de Midnight Blizzard, el actor adaptó sus ataques de pulverización de contraseñas a un número limitado de cuentas, utilizando un número reducido de intentos para evadir la detección y evitar bloqueos de cuentas en función del volumen de fallos", explica una actualización de Microsoft.

Cuando Microsoft reveló por primera vez la infracción, muchos se preguntaron si MFA estaba habilitada en esta cuenta de prueba y cómo una cuenta heredada de prueba tendría suficientes privilegios para extenderse lateralmente a otras cuentas de la organización.

Microsoft ahora ha confirmado que MFA no estaba habilitado para esa cuenta, lo que permitió a los actores de amenazas acceder a los sistemas de Microsoft una vez que forzaron la contraseña correcta.

Microsoft también explica que esta cuenta de prueba tenía acceso a una aplicación OAuth con acceso elevado al entorno corporativo de Microsoft. Este acceso elevado permitió a los actores de amenazas crear aplicaciones OAuth adicionales para obtener acceso a otros buzones de correo corporativos, como se explica a continuación.

     "Midnight Blizzard aprovechó su acceso inicial para identificar y comprometer una aplicación OAuth de prueba heredada que tenía acceso elevado al entorno corporativo de Microsoft. El actor creó aplicaciones OAuth maliciosas adicionales.

     Crearon una nueva cuenta de usuario para otorgar consentimiento en el entorno corporativo de Microsoft a las aplicaciones OAuth maliciosas controladas por el actor. Luego, el actor de amenazas utilizó la aplicación OAuth de prueba heredada para otorgarles la función full_access_as_app de Office 365 Exchange Online, que permite el acceso a los buzones de correo." -Microsoft.

La compañía identificó la actividad maliciosa recuperando rastros en los registros de Exchange Web Services (EWS), combinados con tácticas y procedimientos conocidos utilizados por grupos de piratería patrocinados por el estado ruso.

Basándose en estos hallazgos, Microsoft pudo discernir ataques similares llevados a cabo por Midnight Blizzard, dirigidos a otras organizaciones.

"Utilizando la información obtenida de la investigación de Microsoft sobre Midnight Blizzard, Microsoft Threat Intelligence ha identificado que el mismo actor ha estado apuntando a otras organizaciones y, como parte de nuestros procesos de notificación habituales, hemos comenzado a notificar a estas organizaciones objetivo", advierte Microsoft en el nuevo actualizar.

A principios de esta semana, Hewlett Packard Enterprise (HPE) reveló que Midnight Blizzard había obtenido acceso no autorizado a su entorno de correo electrónico Microsoft Office 365 y había extraído datos desde mayo de 2023.

Cuando se le preguntó a HPE quién les reveló la infracción, nos dijeron que no estaban compartiendo esta información. Sin embargo, la superposición genera sospechas, aumentando la posibilidad de que HPE sea una de las empresas que Microsoft ha confirmado como afectadas.

En septiembre de 2023, también se reveló que el grupo de piratería chino Storm-0558 robó 60.000 correos electrónicos de cuentas del Departamento de Estado de EE. UU. después de violar los servidores de correo electrónico Exchange basados en la nube de Microsoft a principios de ese año.
Defenderse de Midnight Blizzard

Microsoft ha proporcionado amplios métodos de detección y búsqueda en su última publicación para ayudar a los defensores a identificar ataques de APT29 y bloquear su actividad maliciosa.

El gigante tecnológico aconseja centrarse en las alertas de identidad, XDR y SIEM. Los siguientes escenarios son particularmente sospechosos de la actividad de Midnight Blizzard:

     Actividad elevada en aplicaciones en la nube que acceden al correo electrónico, lo que sugiere una posible recuperación de datos.

     Aumento en las llamadas a la API después de la actualización de credenciales en aplicaciones OAuth que no son de Microsoft, lo que sugiere un acceso no autorizado.

     Aumento del uso de la API de servicios web de Exchange en aplicaciones OAuth que no son de Microsoft, lo que podría indicar una filtración de datos.

     Aplicaciones OAuth que no son de Microsoft con metadatos riesgosos conocidos, posiblemente involucradas en violaciones de datos.

     Aplicaciones OAuth creadas por usuarios de sesiones de alto riesgo, lo que sugiere explotación de cuenta comprometida.

Finalmente, Microsoft recomienda utilizar consultas de búsqueda dirigidas (proporcionadas) en Microsoft Defender XDR y Microsoft Sentinel para identificar e investigar actividades sospechosas.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario