Noticias

Los piratas informáticos rusos utilizan los servicios de Azure para piratear la cuenta de Microsoft 365

Investigadores de la firma de seguridad cibernética Mandiant descubrieron que el grupo de piratería ruso respaldado por el estado APT29, también conocido como Cozy Bear o Nobelium, está apuntando activamente a cuentas de Microsoft 365 en los Estados Unidos y organizaciones que se aliaron con la OTAN en campañas de espionaje para robar informacion delicada.

Mandiant, que ha estado rastreando APT29 desde al menos 2014, reveló que el grupo de espionaje ruso está «utilizando nuevas tácticas y apuntando fuertemente a Microsoft 365 en ataques que demuestran una seguridad excepcional y evasión operativa».

La compañía destacó algunas de las nuevas técnicas avanzadas de APT29 (tácticas, técnicas y procedimientos) en un informe publicado el jueves.

Para un actor de amenazas, Purview Audit, una función de seguridad de mayor nivel en el paquete Microsoft 365, es una de las funciones de seguridad de registro más problemáticas. Esta característica, disponible con licencias E5 y ciertos complementos, habilita la auditoría de elementos de correo accedidos. Elementos de correo electrónico accedidos registra la cadena de agente de usuario, la marca de tiempo, la dirección IP y el usuario cada vez que se accede a un elemento de correo electrónico, independientemente del programa (Outlook, navegador, Graph API).

Mandiant señaló que APT29 pudo deshabilitar Purview Audit en cuentas específicas en un inquilino comprometido para apuntar a la bandeja de entrada para la recopilación de correo electrónico.

“Una vez que están deshabilitados, comienzan a apuntar a la bandeja de entrada para recopilar correos electrónicos. En este punto, no hay registro disponible para la organización para confirmar qué cuentas apuntó el actor de amenazas para la recopilación de correo electrónico y cuándo. Dada la orientación de APT29 y TTP, Mandiant cree que la recopilación de correo electrónico es la actividad más probable después de deshabilitar Purview Audit”, se lee en el informe publicado por Mandiant.

“Hemos actualizado nuestro libro blanco Estrategias de mejora y fortalecimiento para Microsoft 365 para incluir más detalles sobre esta técnica, así como consejos de detección y remediación. Además, hemos agregado un nuevo módulo a Azure AD Investigator para informar sobre los usuarios con discapacidades de auditoría avanzadas”.

​​​Los investigadores también descubrieron otra nueva táctica avanzada utilizada por APT29, que explota el proceso de autoinscripción para la autenticación multifactor (MFA) en Azure Active Directory (AD).

Este método aprovecha la falta de cumplimiento estricto de las nuevas inscripciones de MFA en la configuración predeterminada de Azure AD, lo que significa que cualquiera que conozca el nombre de usuario y la contraseña puede acceder a la cuenta desde cualquier lugar y dispositivo para registrar MFA, siempre que sea el primero en hacerlo. hazlo

“En un caso, APT29 realizó un ataque de adivinación de contraseñas contra una lista de buzones que obtuvieron a través de un método desconocido. El actor de amenazas logró adivinar la contraseña de una cuenta que se había configurado, pero que nunca se usó. Como la cuenta estaba inactiva, Azure AD solicitó a APT29 que se registrara en MFA. Una vez registrado, APT29 pudo usar la cuenta para acceder a la infraestructura VPN de la organización que usaba Azure AD para autenticación y MFA”, continúa el informe.

Finalmente, Mandiant notó que APT29 usaba Azure Virtual Machines (VM). Las máquinas virtuales utilizadas por APT29 están en suscripciones de Azure fuera de la organización de la víctima. No está claro si el grupo activista amenazó con comprometer o comprar estas donaciones.

También se observó que el grupo mezclaba actividades administrativas benignas con actividades maliciosas para confundir a cualquiera que pudiera estar en el camino.

“Por ejemplo, en una investigación reciente, APT29 obtuvo acceso a una cuenta de administrador global en Azure AD. Usaron la cuenta para anular un principal de servicio con derechos de personalización de la aplicación y comenzaron a recopilar correo electrónico de buzones de correo específicos en el inquilino”, agregó el informe.

Una vez agregado, APT29 pudo autenticarse en Azure AD como entidad de servicio y usar sus funciones para recopilar correo electrónico. Para fusionar, APT29 creó el certificado con un nombre común (CN) que coincidía con el nombre para mostrar principal del servicio de puerta trasera y agregó una nueva dirección URL de la aplicación.

“APT29 continúa con su comercio técnico y su compromiso de desarrollar una seguridad operativa rigurosa. Mandiant espera que APT29 permanezca listo para desarrollar técnicas y tácticas para obtener acceso a Microsoft 365 de formas novedosas y sigilosas”, concluye el informe.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!