Una agencia no identificada del Poder Ejecutivo Civil Federal (FCEB) en los EE. UU. detectó una actividad de correo electrónico anómala a mediados de junio de 2023, lo que llevó al descubrimiento por parte de Microsoft de una nueva campaña de espionaje vinculada a China dirigida a dos docenas de organizaciones.
Los detalles provienen de un aviso conjunto de seguridad cibernética publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) el 12 de julio de 2023.
«En junio de 2023, una agencia del Poder Ejecutivo Federal Civil (FCEB) identificó actividad sospechosa en su entorno de nube de Microsoft 365 (M365)», dijeron las autoridades. dicho. «Microsoft determinó que los actores de amenazas persistentes avanzadas (APT) accedieron y extrajeron datos no clasificados de Exchange Online Outlook».
Si bien no se reveló el nombre de la agencia gubernamental, CNN y el poste de washington informó que era el Departamento de Estado de EE. UU., citando a personas familiarizadas con el asunto. También fueron atacados el Departamento de Comercio, así como las cuentas de correo electrónico pertenecientes a un miembro del personal del Congreso, un defensor de los derechos humanos de EE. UU. y grupos de expertos de EE. UU. El número de organizaciones afectadas en los EE. UU. es estimado ser de un solo dígito.
La divulgación se produce un día después de que el gigante tecnológico atribuyó la campaña a un «actor de amenazas con sede en China» emergente que rastrea bajo el nombre Storm-0558, que se dirige principalmente a las agencias gubernamentales en Europa occidental y se centra en el espionaje y el robo de datos. La evidencia reunida hasta ahora muestra que la actividad maliciosa comenzó un mes antes de que fuera detectada.
Sin embargo, China ha rechazado las acusaciones de que estuvo detrás del incidente de piratería. vocación Estados Unidos es «el imperio de piratería más grande del mundo y el ladrón cibernético global» y que «ya es hora de que Estados Unidos explique sus actividades de ciberataque y deje de difundir desinformación para desviar la atención del público».
La cadena de ataque implicó que los ciberespías aprovecharan tokens de autenticación falsificados para obtener acceso a las cuentas de correo electrónico de los clientes mediante Outlook Web Access en Exchange Online (OWA) y Outlook.com. Los tokens se falsificaron utilizando una clave de firma de consumidor de cuenta de Microsoft (MSA) adquirida. El método exacto por el cual se aseguró la clave sigue sin estar claro.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Storm-0558 utiliza dos herramientas de malware personalizadas llamadas Bling y Cigriloel último de los cuales se ha caracterizado como un troyano que descifra archivos cifrados y los ejecuta directamente desde la memoria del sistema para evitar la detección.
CISA dijo que la agencia FCEB pudo identificar la infracción al aprovechar el registro mejorado en Microsoft Purview Audit, específicamente usando el Elementos de correo accedidos acción de auditoría de buzón.
La agencia recomienda además que las organizaciones habiliten el registro de Purview Audit (Premium), activen el registro de auditoría unificado de Microsoft 365 (UAL), y asegúrese de que los operadores puedan buscar en los registros para permitir la búsqueda de este tipo de actividad y diferenciarla del comportamiento esperado dentro del entorno.
«Se alienta a las organizaciones a buscar valores atípicos y familiarizarse con los patrones de referencia para comprender mejor el tráfico anormal versus el normal», agregaron CISA y el FBI.