Microsoft compartió nueva información identificada respecto al ataque realizado por Midnight Blizzard el pasado mes de noviembre de 2023.
En este, los actores maliciosos utilizaron una técnica conocida como pulverización de contraseñas y servidores ‘proxy’ residenciales para acceder a una cuenta de inquilino de prueba heredada.
A través de ella, ingresar múltiples correos electrónicos del personal.
El actor de amenazas conocido como Midnight Blizzard y Nobelium es un grupo de ciberdelincuentes dedicados al espionaje, alineados con el Servicio de Inteligencia Exterior de Rusia.
Este, según un estudio realizado por los investigadores de Microsoft Threat Analysis Center en 2023, llegó a perseguir el acceso de más de 240 organizaciones desde marzo a diciembre de dicho año.
En concreto, sus fines suelen ser organizaciones gubernamentales, ONG, desarrolladores de ‘software’ y proveedores de servicios.
Asimismo, habitualmente operan en Estados Unidos, Canadá y otros países europeos.
Todo ello con la intención de recopilar información “en apoyo de los intereses de la política exterior rusa”, según Microsoft.
En este marco, Microsoft apuntó en enero de este año que había identificado un ataque por parte de los actores maliciosos de Midnight Blizzard.
Según se informó, estos consiguieron violar sus sistemas corporativos, que comenzó en noviembre de 2023.
PULVERIZACIÓN DE CONTRASEÑAS Y SERVIDORES ‘PROXY’ RESIDENCIALES
Una vez identificado el ataque, la compañía activó un proceso de respuesta para investigar, interrumpir la actividad maliciosa, mitigar el ataque y negarle acceso adicional al actor de la amenaza.
Sin embargo, los ciberdelincuentes consiguieron robar correos electrónicos de trabajadores con el objetivo de extraer información relevante.
No obstante, Microsoft también puntualizó que, por el momento, no había evidencia de que los ciberdelincuentes tuvieran acceso a otros lados.
Entre estas partes resguardadas de ataques, informan, están los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial (IA).
Ahora, la compañía tecnológica compartió una actualización en su blog de seguridad, donde ha explicado cómo llevó a cabo Midnight Blizzard este último ataque.
Lo hizo utilizando ataques de “rociado de contraseñas” a través servidores ‘proxy’ residenciales.
Como explicó Microsoft, los investigadores pudieron identificar estos ataques en los datos de registro al revisar la actividad de Exchange Web Services (EWS).
Además, pudieron utilizar sus funciones de registro de auditoría, combinadas con su “amplio conocimiento” de Midnight Blizzard.
Habitualmente, las operaciones de Midnight Blizzard implican el compromiso de cuentas válidas y, en algunos casos, “técnicas avanzadas”.
Esto es para comprometer los mecanismos de autenticación dentro de una organización y, de esta forma, ampliar el acceso y evadir la detección.
Es decir, utilizan diversos métodos de acceso inicial que van desde credenciales robadas hasta ataques a la cadena de suministro.
Otro de los métodos que llevan a cabo es abusar de aplicaciones OAuth, el estándar abierto para la autenticación y autorización basada en ‘tokens’.
Esto permite a las aplicaciones obtener acceso a datos según los permisos establecidos por el usuario.
En el caso concreto del ataque iniciado en noviembre de 2023, el grupo de ciberdelincuentes utilizó el método de “pulverización de contraseñas”.
Con este lo que lograron es comprometer “una cuenta de inquilino de prueba heredada que no era de producción”, y que no tenía habilitada la autenticación multifactor (MFA).
ABUSO DE APLICACIONES OAUTH
Los ataques de “pulverización de contraseñas” se basan en un sistema con el que los ciberdelincuentes intentan iniciar sesión en una gran cantidad de cuentas a la vez.
Lo hacen probando con un conjunto limitado de contraseñas que consideran populares o probables.
Así, en el caso de Microsoft, consiguieron acceder a una cuenta de inquilino de prueba heredada que no disponía de autenticación multifactor.
Esto se debe a que se adaptó el ataque de pulverización de contraseñas a “un número limitado de cuentas” y “un número reducido de intentos”.
De esta forma, al utilizar pocas contraseñas y, por tanto, un número reducido de intentos, consiguieron evadir la detección del ataque y evitar bloqueos de cuentas en función del volumen de fallos.
Además, para aumentar la seguridad y evitar que Microsoft detectase el ataque, Midnight Blizzard realizó la “pulverización de contraseñas”.
Lo ha hecho a través de una infraestructura de ‘proxy’ residencial distribuida.
PUDIERON OCULTAR SU ACTIVIDAD
Esto permitió que los ciberdelincuentes ocultasen su actividad y, por tanto, pudiesen realizar dicho ataque de forma contínua, hasta dar con la contraseña y poder acceder a dicha cuenta.
La cuenta de inquilino de prueba heredada de Microsoft que lograron comprometer disponía de acceso a una aplicación OAuth.
En este sentido, Midnight Blizzard aprovechó y comprometió dicha aplicación que, además, tenía “acceso elevado al entorno corporativo de Microsoft”, para crear aplicaciones OAuth adicionales.
Tras ello, crearon una nueva cuenta de usuario con la que “otorgar consentimiento en el entorno corporativo de Microsoft a las aplicaciones OAuth maliciosas controladas por el actor”.
En esa línea, agregaron que “una vez que estuvieron aceptadas, los ciberdenincuentes utilizaron OAuth para otorgarles acceso a la aplicación de Office 365 Exchange Online”.
Y finalmente, desde estas, es que pudieron obtener otros buzones de correo.
Según ha sentenciado Microsoft, este incidente ha puesto de relieve la “urgente necesidad de actuar aún más rápido”, frente a este tipo de amenazas.
DETECTAR Y BLOQUEAR ESTOS ATAQUES
En base a todos los datos recabados por el grupo Microsoft Threat Intelligence, la compañía pudo detectar el mismo modus operandi para otras organizaciones por parte de Midnight Blizzard.
Por esta razón, han comenzado a notificar a dichas organizaciones la posibilidad de ser un objetivo.
De cara a obtener más protección, Microsoft también recomendó usar consultas de búsqueda dirigidas proporcionadas por Microsoft Defender XDR y Microsoft Sentinel.
Lo hace con el objetivo de identificar e investigar actividades sospechosas.
Asimismo, a través de XDR y Sentinel, Microsoft también recordó que lanza alertas sobre posibles situaciones en las que pueden actuar los ciberdelincuentes.
Ejemplo de esto es cuando una aplicación con permisos de solo aplicación accede a numerosos correos electrónicos.
Es decir, cuando hay una actividad elevada en la nube desde la que se accede al correo electrónico, lo que podría significar un intento de recuperación de datos.
También se lanzan avisos en los casos de aumento de llamadas a la API después de actualizar las credenciales en aplicaciones OAuth que no son de Microsoft.
En este caso, se trataría de un acceso no autorizado o una filtración de datos, según explicó la compañía.
Igualmente, otra alerta se lanzaría en el caso de identificar aplicaciones OAuth creadas por usuarios sospechosos que accedían a elementos del buzon.
Esto se debe a que podría sugerir la explotación de la cuenta comprometida.
Además de todo ello, se avisaría en caso de identificar metadatos de aplicaciones asociadas con actividad sospechosa relacionada con ‘malware’.
Fuente: EP.