Resumen: Un reconocido grupo de ciberdelincuentes, patrocinado por el estado ruso, vulnera los servicios de Microsoft 365.
Mejor conocido como Cozy Bear y clasificado como una amenaza persistente avanzada (APT29), el grupo vulnera la suite de herramientas de Microsoft abusando de los servicios de Azure.
Mandiant, la empresa en ciberseguridad que ha estado siguiendo las actividades delictivas del grupo, afirma que los ataques se tratan de una campaña de espionaje que pretende acceder a la información de política exterior.
Algunas de las tácticas, técnicas y procedimientos más comúnmente utilizados por el grupo, fueron revelados en un informe de Mandiant publicado el día de hoy.
De acuerdo con los investigadores, los ciberdelincuentes únicamente dirigen sus amenazas a cuentas de usuarios de países pertenecientes a la Organización del Tratado del Atlántico Norte (OTAN).
Una vez penetrando en la red, los ciberdelincuentes desactivan la función Purview Audit, para evitar ser rastreados.
Purview Audit, es una función de seguridad de Microsoft 365, presente en las cuentas de usuarios con una licencia E5 de nivel superior.
Al estar activada, la función registra los agentes de usuario, las direcciones IP, las marcas de tiempo y los nombres de usuario cada vez que se accede a un correo electrónico nuevo.
Esta función sirve como una fuente de registro, para determinar si un actor de la amenaza ha accedido a un correo en particular, así como para determinar el alcance del mismo.
Durante el desarrollo de la campaña, los investigadores observaron que Cozy Bear desplegó ataques de fuerza bruta a nombres de usuario y contraseñas de cuentas que habían registrado sus dispositivos en la autenticación multifactor (MFA).
Esto significa que el grupo aprovecha el proceso de autoinscripción de la autenticación multifactor (MFA) en Azure Active Directory para comprometer a sus víctimas.
Activando esta función, los atacantes son libres de divagar por la red vulnerada.
Finalmente, uno de los hallazgos más importantes en el informe de Mandiant, es que el grupo usó máquinas virtuales de Azure a través de cuentas comprometidas para evadir su detección y ocultarse en la red.
De acuerdo con el análisis, los ordenadores de Azure ofuscan los registros con direcciones IP de Microsoft que vuelven prácticamente imposible distinguir entre el tráfico del ordenador y los eventos maliciosos.
Las tácticas, técnicas y procedimientos del grupo, convierten a Cozy Bear en una amenaza de alto riesgo capaz de robar información importante.
Dicho esto, se le insta a los administradores a mantener sus dispositivos actualizados, así como a utilizar las mejores prácticas de ciberseguridad para prevenir cualquier tipo de ataque.
Referencias: https://cybernews.com/cyber-war/russian-threat-group-exploiting-microsoft-weaknesses-to-target-us-entities-says-analyst/ |
SÍGUENOS