Microsoft ha confirmado que el grupo de amenaza del Servicio de Inteligencia Exterior de Rusia, conocido como Midnight Blizzard (también Nobelium o APT29), perpetró una serie de ataques maliciosos, incluyendo la violación de cuentas de correo electrónico de ejecutivos en noviembre de 2023. Esta campaña de ciberespionaje respaldada por el estado ruso se dirige principalmente a organizaciones gubernamentales, ONG, desarrolladores de software y proveedores de servicios de TI en Estados Unidos y Europa.
La compañía reveló el 12 de enero de 2024 que los hackers rusos habían comprometido sus sistemas y robado correos electrónicos de los equipos de liderazgo, ciberseguridad y legales de Microsoft. La información sustraída incluía datos sobre el propio grupo de hackers, lo que proporcionó a los ciberdelincuentes conocimientos detallados sobre lo que Microsoft sabía acerca de ellos.
Microsoft detalló que los cibercriminales utilizaron servidores proxy residenciales y ataques de fuerza bruta de “rociado de contraseñas” para dirigirse a un número limitado de cuentas. Sorprendentemente, una de las cuentas comprometidas era una “cuenta de inquilino de prueba heredada que no es de producción”.
En la investigación posterior, Microsoft confirmó que la autenticación de multifactor (MFA) no estaba habilitada para esa cuenta, lo que facilitó a los miembros de APT29 el acceso una vez que obtuvieron la contraseña correcta. Además, esta cuenta de prueba tenía acceso a una aplicación OAuth con privilegios elevados en el entorno corporativo de Microsoft, permitiendo a los hackers crear aplicaciones OAuth adicionales y obtener acceso a buzones de correo corporativos.
Midnight Blizzard aprovechó este acceso inicial para identificar y comprometer una aplicación OAuth de prueba heredada, otorgándose así la capacidad de crear aplicaciones maliciosas adicionales. Crearon una nueva cuenta de usuario para otorgar consentimiento en el entorno corporativo de Microsoft a las aplicaciones OAuth maliciosas controladas por el grupo.
Microsoft identificó la actividad maliciosa a través de rastros en los registros de Exchange Web Services (EWS) y tácticas conocidas utilizadas por grupos patrocinados por el estado ruso. Basándose en estos hallazgos, la compañía pudo señalar ataques similares llevados a cabo por Midnight Blizzard contra otras organizaciones.
Hewlett Packard Enterprise (HPE) reveló recientemente que Midnight Blizzard también había obtenido acceso no autorizado a su entorno de correo electrónico Microsoft Office 365 y extraído datos desde mayo de 2023. Aunque no se reveló quién informó a HPE sobre la infracción, existe la posibilidad de que sea una de las empresas confirmadas por Microsoft como afectadas.
En septiembre de 2023, el grupo chino Storm-0558 también comprometió servidores de correo electrónico Exchange basados en la nube de Microsoft, robando 60.000 correos electrónicos del Departamento de Estado de EE. UU.
Para defenderse contra Midnight Blizzard, Microsoft proporciona extensos métodos de detección y búsqueda, destacando la importancia de centrarse en alertas de identidad, XDR y SIEM. La compañía aconseja prestar especial atención a actividades sospechosas, como recuperación de datos en aplicaciones en la nube, llamadas API no autorizadas después de actualizaciones de credenciales en aplicaciones OAuth no pertenecientes a Microsoft, y aumento del uso de la API de servicios web de Exchange en aplicaciones OAuth no relacionadas con Microsoft.
Microsoft también recomienda la implementación de consultas de búsqueda dirigidas en Microsoft Defender XDR y Microsoft Sentinel para identificar e investigar actividades sospechosas.
Más Información:
Fuente: linkedin.com