Microsoft está llamando la atención sobre un clúster de amenaza emergente que llama Tormenta-2372 Eso se ha atribuido a un nuevo conjunto de ataques cibernéticos dirigidos a una variedad de sectores desde agosto de 2024.
Los ataques han atacado a los servicios y tecnología del gobierno, las organizaciones no gubernamentales (ONG), los servicios y la tecnología de la tecnología de la información (TI), la defensa, las telecomunicaciones, la salud, la educación superior y los sectores de energía/petróleo y gas en Europa, América del Norte, África y el medio Este.
El actor de amenaza, evaluado con confianza media para alinearse con los intereses rusos, la victimología y la artesanía, se ha observado que se dirige a los usuarios a través de aplicaciones de mensajería como WhatsApp, Signal y los equipos de Microsoft al afirmar falsamente ser una persona prominente relevante para el objetivo en un Intento de generar confianza.
“Los ataques usan una técnica de phishing específica llamada ‘Phishing de código de dispositivo’ que engaña a los usuarios para iniciar sesión en aplicaciones de productividad, mientras que los actores de Storm-2372 capturan la información de los inicios de sesión (tokens) que pueden usar para acceder a cuentas comprometidas”, el Microsoft Inteligencia de amenazas dicho en un nuevo informe.
El objetivo es aprovechar los códigos de autenticación obtenidos a través de la técnica para acceder a las cuentas objetivo, y el abuso que accede a obtener datos confidenciales y permite el acceso persistente al entorno de la víctima siempre que los tokens sigan siendo válidos.
El gigante tecnológico dijo que el ataque implica enviar correos electrónicos de phishing que se disfrazan de los equipos de Microsoft que cumplen con invitaciones que, cuando se hacen clic, instan a los destinatarios del mensaje a autenticarse utilizando un código de dispositivo generado por el actor de amenaza, lo que permite que el adversario secuestre la sesión autenticada utilizando el acceso válido el acceso válido simbólico.
“Durante el ataque, el actor de amenaza genera una solicitud de código de dispositivo legítimo y engaña al objetivo para que lo ingrese en una página de inicio de sesión legítimo”, explicó Microsoft. “Esto otorga acceso al actor y les permite capturar la autenticación, el acceso y la actualización, los tokens que se generan, luego usan esos tokens para acceder a las cuentas y datos del objetivo”.
Los tokens de autenticación phished se pueden usar para obtener acceso a otros servicios a los que el usuario ya tiene permisos, como correo electrónico o almacenamiento en la nube, sin la necesidad de una contraseña.
Microsoft dijo que la sesión válida se usa para moverse lateralmente dentro de la red enviando mensajes intraorganizacionales de phishing similares a otros usuarios desde la cuenta comprometida. Además, el servicio Graph Microsoft se utiliza para buscar en los mensajes de la cuenta violada.
“El actor de amenaza estaba utilizando la búsqueda de palabras clave para ver mensajes que contienen palabras como nombre de usuario, contraseña, administrador, equipo de equipo, AnyDesk, credenciales, secreto, ministerio y gobierno”, dijo Redmond, y agregó los correos electrónicos que coinciden con estos criterios de filtro se exfiltraron a los Actor de amenaza.
Para mitigar el riesgo planteado por tales ataques, las organizaciones se recomiendan Bloquear el flujo del código del dispositivo Siempre que sea posible, permita la autenticación multifactor (MFA) resistente al phishing, y siga el principio de menor privilegio.
About the Author
