Múltiples presuntos actores de amenaza vinculados a Rusia están “agresivamente” dirigidos a individuos y organizaciones con lazos con Ucrania y los derechos humanos con el objetivo de obtener acceso no autorizado a cuentas de Microsoft 365 desde principios de marzo de 2025.
Las operaciones de ingeniería social altamente específicas, por volexidad, son un cambio de los ataques previamente documentados que aprovecharon una técnica conocida como phishing de código de dispositivo para lograr los mismos objetivos, lo que indica que los adversarios rusos están refinando activamente su Tradecraft.
“Estos ataques recientemente observados dependen en gran medida de la interacción individual con un objetivo, ya que el actor de amenaza debe convencerlos de hacer clic en un enlace y enviar un código generado por Microsoft”, los investigadores de seguridad Charlie Gardner, Josh Duke, Matthew Meltzer, Sean Koessel, Steven Adair, y Tom Lancaster dicho En un análisis exhaustivo.
Al menos dos grupos de amenazas diferentes rastreados como UTA0352 y UTA0355 Se evalúan que están detrás de los ataques, aunque la posibilidad de que también puedan estar relacionadas con Apt29, UTA0304 y UTA0307 no se ha descartado.
El último conjunto de ataques se caracteriza por el uso de una nueva técnica que tiene como objetivo abusar de flujos de trabajo de autenticación legítimos de Microsoft OAuth 2.0. Los actores de amenaza se hacen pasar por funcionarios de varias naciones europeas y se ha descubierto que aprovechan una cuenta del gobierno ucraniano comprometido al menos en un caso para engañar a las víctimas para que proporcionen un código OAuth generado por Microsoft para tomar el control de sus cuentas.
Las aplicaciones de mensajería como Signal y WhatsApp se utilizan para contactar a los objetivos, invitándolos a unirse a una videollamada o registrarse para reuniones privadas con varios funcionarios políticos nacionales europeos o para los próximos eventos centrados en Ucrania. Estos esfuerzos buscan engañar a las víctimas para hacer clic en enlaces alojados en la infraestructura de Microsoft 365.
“Si el objetivo respondiera a los mensajes, la conversación progresaría rápidamente hacia programar una hora acordada para la reunión”, dijo Volexity. “A medida que se acercaba el tiempo de reunión acordado, el supuesto funcionario político europeo volvería a contacto y compartiría instrucciones sobre cómo unirse a la reunión”.
Las instrucciones toman el formulario de un documento, después de lo cual el supuesto funcionario envía un enlace al objetivo para unirse a la reunión. Todas estas URL redirigen al portal oficial de inicio de sesión para Microsoft 365.
Específicamente, los enlaces suministrados están diseñados para redirigir a las URL oficiales de Microsoft y generar un token de autorización de Microsoft en el proceso, que luego aparecería como parte del URI o dentro del cuerpo de la página de redirección. Posteriormente, el ataque busca engañar a la víctima para que compartiera el código con los actores de amenaza.
Esto se logra redirigiendo al usuario autenticado a una versión en el navegador de Visual Studio Code en Insiders.vscode[.]Dev donde se muestra el token al usuario. Si la víctima compartir el código OAuth, UTA0352 procede a generar un token de acceso que finalmente permite el acceso a la cuenta M365 de la víctima.
Volexity dijo que también observó una iteración anterior de la campaña que redirige a los usuarios al sitio web “VScode-Redirect.AzureWebsites[.]net, “que, a su vez, redirige al hostil Dirección IP (127.0.0.1).
“Cuando esto sucede, en lugar de producir una interfaz de usuario con el código de autorización, el código solo está disponible en la URL”, explicaron los investigadores. “Esto produce una página en blanco cuando se presenta en el navegador del usuario. El atacante debe solicitar que el usuario comparta la URL de su navegador para que el atacante obtenga el código”.
Se dice que otro ataque de ingeniería social identificado a principios de abril de 2025 involucró a UTA0355 utilizando una cuenta de correo electrónico del gobierno ucraniano ya comprometida para enviar correos electrónicos de phishing a objetivos, seguido de enviar mensajes en señal y whatsapp.
Estos mensajes invitaron a los objetivos a unirse a una videoconferencia relacionada con los esfuerzos de Ucrania con respecto a la inversión y el enjuiciamiento de “crímenes de atrocidad” y la colaboración del país con socios internacionales. Si bien la intención final de la actividad es la misma que UTA0352, hay una diferencia crucial.
Los actores de amenaza, como en el otro caso, abusan de la API legítima de autenticación de Microsoft 365 para obtener acceso a los datos de correo electrónico de la víctima. Pero el código de autorización robado de OAuth se utiliza para registrar un nuevo dispositivo a la ID de Microsoft Entra de la víctima (anteriormente Azure Active Directory) de forma permanente.
En la siguiente fase, el atacante orquesta una segunda ronda de ingeniería social para convencer a los objetivos de aprobar una solicitud de autenticación de dos factores y secuestrar la cuenta.
“En esta interacción, UTA0355 solicitó que la víctima apruebe una solicitud de autenticación de dos factores (2FA) para ‘obtener acceso a una instancia de SharePoint asociada con la conferencia'”, dijo Volexity. “Esto se requirió para evitar requisitos de seguridad adicionales, que la organización de la víctima estableció para obtener acceso a su correo electrónico”.
Lo que también hace que el ataque sea particularmente efectivo es que la actividad de inicio de sesión, el acceso al correo electrónico y el registro de dispositivos se enrutan a través de redes proxy geolocadas para que coincidan con la ubicación de la víctima, lo que complica aún más los esfuerzos de detección.
Para detectar y mitigar estos ataques, se aconseja a las organizaciones que auditen dispositivos recién registrados, educen a los usuarios sobre los riesgos asociados con contactos no solicitados en plataformas de mensajería e implementen políticas de acceso condicional que restrinjan el acceso a los recursos organizacionales a solo dispositivos aprobados o administrados.
“Estas campañas recientes se benefician de todas las interacciones de los usuarios que tienen lugar en la infraestructura oficial de Microsoft; no hay infraestructura alojada en atacantes utilizada en estos ataques”, agregó la compañía.
“Del mismo modo, estos ataques no involucran aplicaciones OAUTH maliciosas o controladas por los atacantes para las cuales el usuario debe otorgar explícitamente el acceso (y por lo tanto podría ser bloqueado fácilmente por las organizaciones). El uso de aplicaciones de primer partido de Microsoft que ya tiene consentimiento otorgado ha demostrado que la prevención y la detección de esta técnica es más difícil”.
About the Author
