M\u00faltiples presuntos actores de amenaza vinculados a Rusia est\u00e1n “agresivamente” dirigidos a individuos y organizaciones con lazos con Ucrania y los derechos humanos con el objetivo de obtener acceso no autorizado a cuentas de Microsoft 365 desde principios de marzo de 2025.<\/p>\n
Las operaciones de ingenier\u00eda social altamente espec\u00edficas, por volexidad, son un cambio de los ataques previamente documentados que aprovecharon una t\u00e9cnica conocida como phishing de c\u00f3digo de dispositivo para lograr los mismos objetivos, lo que indica que los adversarios rusos est\u00e1n refinando activamente su Tradecraft.<\/p>\n
“Estos ataques recientemente observados dependen en gran medida de la interacci\u00f3n individual con un objetivo, ya que el actor de amenaza debe convencerlos de hacer clic en un enlace y enviar un c\u00f3digo generado por Microsoft”, los investigadores de seguridad Charlie Gardner, Josh Duke, Matthew Meltzer, Sean Koessel, Steven Adair, y Tom Lancaster dicho<\/a> En un an\u00e1lisis exhaustivo.<\/p>\n Al menos dos grupos de amenazas diferentes rastreados como UTA0352<\/strong> y UTA0355<\/strong> Se eval\u00faan que est\u00e1n detr\u00e1s de los ataques, aunque la posibilidad de que tambi\u00e9n puedan estar relacionadas con Apt29, UTA0304 y UTA0307 no se ha descartado.<\/p>\n El \u00faltimo conjunto de ataques se caracteriza por el uso de una nueva t\u00e9cnica que tiene como objetivo abusar de flujos de trabajo de autenticaci\u00f3n leg\u00edtimos de Microsoft OAuth 2.0. Los actores de amenaza se hacen pasar por funcionarios de varias naciones europeas y se ha descubierto que aprovechan una cuenta del gobierno ucraniano comprometido al menos en un caso para enga\u00f1ar a las v\u00edctimas para que proporcionen un c\u00f3digo OAuth generado por Microsoft para tomar el control de sus cuentas.<\/p>\n Las aplicaciones de mensajer\u00eda como Signal y WhatsApp se utilizan para contactar a los objetivos, invit\u00e1ndolos a unirse a una videollamada o registrarse para reuniones privadas con varios funcionarios pol\u00edticos nacionales europeos o para los pr\u00f3ximos eventos centrados en Ucrania. Estos esfuerzos buscan enga\u00f1ar a las v\u00edctimas para hacer clic en enlaces alojados en la infraestructura de Microsoft 365.<\/p>\n “Si el objetivo respondiera a los mensajes, la conversaci\u00f3n progresar\u00eda r\u00e1pidamente hacia programar una hora acordada para la reuni\u00f3n”, dijo Volexity. “A medida que se acercaba el tiempo de reuni\u00f3n acordado, el supuesto funcionario pol\u00edtico europeo volver\u00eda a contacto y compartir\u00eda instrucciones sobre c\u00f3mo unirse a la reuni\u00f3n”.<\/p>\n Las instrucciones toman el formulario de un documento, despu\u00e9s de lo cual el supuesto funcionario env\u00eda un enlace al objetivo para unirse a la reuni\u00f3n. Todas estas URL redirigen al portal oficial de inicio de sesi\u00f3n para Microsoft 365.<\/p>\n Espec\u00edficamente, los enlaces suministrados est\u00e1n dise\u00f1ados para redirigir a las URL oficiales de Microsoft y generar un token de autorizaci\u00f3n de Microsoft en el proceso, que luego aparecer\u00eda como parte del URI o dentro del cuerpo de la p\u00e1gina de redirecci\u00f3n. Posteriormente, el ataque busca enga\u00f1ar a la v\u00edctima para que compartiera el c\u00f3digo con los actores de amenaza.<\/p>\n Esto se logra redirigiendo al usuario autenticado a una versi\u00f3n en el navegador de Visual Studio Code en Insiders.vscode[.]Dev donde se muestra el token al usuario. Si la v\u00edctima compartir el c\u00f3digo OAuth, UTA0352 procede a generar un token de acceso que finalmente permite el acceso a la cuenta M365 de la v\u00edctima.<\/p>\n Volexity dijo que tambi\u00e9n observ\u00f3 una iteraci\u00f3n anterior de la campa\u00f1a que redirige a los usuarios al sitio web “VScode-Redirect.AzureWebsites[.]net, “que, a su vez, redirige al hostil<\/a> Direcci\u00f3n IP (127.0.0.1).<\/p>\n “Cuando esto sucede, en lugar de producir una interfaz de usuario con el c\u00f3digo de autorizaci\u00f3n, el c\u00f3digo solo est\u00e1 disponible en la URL”, explicaron los investigadores. “Esto produce una p\u00e1gina en blanco cuando se presenta en el navegador del usuario. El atacante debe solicitar que el usuario comparta la URL de su navegador para que el atacante obtenga el c\u00f3digo”.<\/p>\n Se dice que otro ataque de ingenier\u00eda social identificado a principios de abril de 2025 involucr\u00f3 a UTA0355 utilizando una cuenta de correo electr\u00f3nico del gobierno ucraniano ya comprometida para enviar correos electr\u00f3nicos de phishing a objetivos, seguido de enviar mensajes en se\u00f1al y whatsapp.<\/p>\n Estos mensajes invitaron a los objetivos a unirse a una videoconferencia relacionada con los esfuerzos de Ucrania con respecto a la inversi\u00f3n y el enjuiciamiento de “cr\u00edmenes de atrocidad” y la colaboraci\u00f3n del pa\u00eds con socios internacionales. Si bien la intenci\u00f3n final de la actividad es la misma que UTA0352, hay una diferencia crucial.<\/p>\n Los actores de amenaza, como en el otro caso, abusan de la API leg\u00edtima de autenticaci\u00f3n de Microsoft 365 para obtener acceso a los datos de correo electr\u00f3nico de la v\u00edctima. Pero el c\u00f3digo de autorizaci\u00f3n robado de OAuth se utiliza para registrar un nuevo dispositivo a la ID de Microsoft Entra de la v\u00edctima (anteriormente Azure Active Directory) de forma permanente.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-piratas-informaticos-rusos-explotan-a-Microsoft-Oauth-para-apuntar.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n