Microsoft dijo el jueves que los actores de amenazas patrocinados por el estado ruso responsables de un ciberataque a sus sistemas a fines de noviembre de 2023 han estado apuntando a otras organizaciones y que actualmente est\u00e1 comenzando a notificarles.<\/p>\n
La noticia se produce un d\u00eda despu\u00e9s de que Hewlett Packard Enterprise (HPE) revelara que hab\u00eda sido v\u00edctima de un ataque perpetrado por un grupo de piratas inform\u00e1ticos rastreado como APT29<\/strong>que tambi\u00e9n se conoce como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) y The Dukes.<\/p>\n “Se sabe que este actor de amenazas apunta principalmente a gobiernos, entidades diplom\u00e1ticas, organizaciones no gubernamentales (ONG) y proveedores de servicios de TI, principalmente en los EE. UU. y Europa”, dijo el equipo de Microsoft Threat Intelligence. dicho<\/a> en un nuevo aviso.<\/p>\n El objetivo principal de estas misiones de espionaje es recopilar informaci\u00f3n sensible que sea de inter\u00e9s estrat\u00e9gico para Rusia manteniendo puntos de apoyo durante largos per\u00edodos de tiempo sin llamar la atenci\u00f3n.<\/p>\n La \u00faltima divulgaci\u00f3n indica que la escala de la campa\u00f1a puede haber sido mayor de lo que se pensaba anteriormente. El gigante tecnol\u00f3gico, sin embargo, no revel\u00f3 qu\u00e9 otras entidades fueron se\u00f1aladas.<\/p>\n Las operaciones de APT29 implican el uso de cuentas leg\u00edtimas pero comprometidas para obtener y ampliar el acceso dentro de un entorno objetivo y pasar desapercibidos. Tambi\u00e9n se sabe que identifica y abusa de las aplicaciones OAuth para moverse lateralmente a trav\u00e9s de infraestructuras de nube y para actividades posteriores al compromiso, como la recopilaci\u00f3n de correo electr\u00f3nico.<\/p>\n “Utilizan diversos m\u00e9todos de acceso inicial que van desde credenciales robadas hasta ataques a la cadena de suministro, explotaci\u00f3n de entornos locales para moverse lateralmente a la nube y explotaci\u00f3n de la cadena de confianza de los proveedores de servicios para obtener acceso a clientes intermedios”, se\u00f1al\u00f3 Microsoft.<\/p>\n Otra t\u00e1ctica notable implica el uso de cuentas de usuario violadas para crear, modificar y otorgar altos permisos a aplicaciones OAuth que pueden usar indebidamente para ocultar actividad maliciosa. Esto permite a los actores de amenazas mantener el acceso a las aplicaciones, incluso si pierden el acceso a la cuenta inicialmente comprometida, se\u00f1al\u00f3 la compa\u00f1\u00eda.<\/p>\n Estas aplicaciones OAuth maliciosas se utilizan en \u00faltima instancia para autenticarse en Microsoft Exchange Online y apuntar a cuentas de correo electr\u00f3nico corporativas de Microsoft para filtrar datos de inter\u00e9s.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Microsoft-advierte-sobre-la-ampliacion-de-los-ataques-de-espionaje.jpg\")
<\/a><\/center><\/div>\n