Microsoft dijo el jueves que los actores de amenazas patrocinados por el estado ruso responsables de un ciberataque a sus sistemas a fines de noviembre de 2023 han estado apuntando a otras organizaciones y que actualmente está comenzando a notificarles.
La noticia se produce un día después de que Hewlett Packard Enterprise (HPE) revelara que había sido víctima de un ataque perpetrado por un grupo de piratas informáticos rastreado como APT29que también se conoce como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) y The Dukes.
«Se sabe que este actor de amenazas apunta principalmente a gobiernos, entidades diplomáticas, organizaciones no gubernamentales (ONG) y proveedores de servicios de TI, principalmente en los EE. UU. y Europa», dijo el equipo de Microsoft Threat Intelligence. dicho en un nuevo aviso.
El objetivo principal de estas misiones de espionaje es recopilar información sensible que sea de interés estratégico para Rusia manteniendo puntos de apoyo durante largos períodos de tiempo sin llamar la atención.
La última divulgación indica que la escala de la campaña puede haber sido mayor de lo que se pensaba anteriormente. El gigante tecnológico, sin embargo, no reveló qué otras entidades fueron señaladas.
Las operaciones de APT29 implican el uso de cuentas legítimas pero comprometidas para obtener y ampliar el acceso dentro de un entorno objetivo y pasar desapercibidos. También se sabe que identifica y abusa de las aplicaciones OAuth para moverse lateralmente a través de infraestructuras de nube y para actividades posteriores al compromiso, como la recopilación de correo electrónico.
«Utilizan diversos métodos de acceso inicial que van desde credenciales robadas hasta ataques a la cadena de suministro, explotación de entornos locales para moverse lateralmente a la nube y explotación de la cadena de confianza de los proveedores de servicios para obtener acceso a clientes intermedios», señaló Microsoft.
Otra táctica notable implica el uso de cuentas de usuario violadas para crear, modificar y otorgar altos permisos a aplicaciones OAuth que pueden usar indebidamente para ocultar actividad maliciosa. Esto permite a los actores de amenazas mantener el acceso a las aplicaciones, incluso si pierden el acceso a la cuenta inicialmente comprometida, señaló la compañía.
Estas aplicaciones OAuth maliciosas se utilizan en última instancia para autenticarse en Microsoft Exchange Online y apuntar a cuentas de correo electrónico corporativas de Microsoft para filtrar datos de interés.
En el incidente dirigido a Microsoft en noviembre de 2023, el actor de amenazas utilizó un ataque de pulverización de contraseñas para infiltrarse con éxito en una cuenta de inquilino de prueba heredada que no era de producción y que no tenía habilitada la autenticación multifactor (MFA).
Dichos ataques se lanzan desde una infraestructura de proxy residencial distribuida para ocultar sus orígenes, lo que permite al actor de la amenaza interactuar con el inquilino comprometido y con Exchange Online a través de una vasta red de direcciones IP que también utilizan usuarios legítimos.
«El uso de servidores proxy residenciales por parte de Midnight Blizzard para ofuscar las conexiones hace que la detección tradicional basada en indicadores de compromiso (IoC) sea inviable debido a la alta tasa de cambio de direcciones IP», dijo Redmond, lo que requiere que las organizaciones tomen medidas para defenderse contra aplicaciones OAuth no autorizadas y la pulverización de contraseñas. .