Los piratas informáticos rusos APT29 abusan de los servicios de Azure para piratear a los usuarios de Microsoft 365

El grupo de ciberespionaje ruso respaldado por el estado Cozy Bear ha sido particularmente prolífico en 2022, apuntando a cuentas de Microsoft 365 en países de la OTAN e intentando acceder a información de política exterior.

Microsoft 365 es un paquete de productividad basado en la nube utilizado predominantemente por empresas y entidades empresariales, que facilita la colaboración, la comunicación, el almacenamiento de datos, el correo electrónico, la oficina y más.

Mandiant, que ha estado rastreando las actividades de Cozy Bear (también conocido como APT29 y Nobelium), informa que los piratas informáticos rusos han estado apuntando vigorosamente a las cuentas de Microsoft 365 en campañas de espionaje.

 

Los investigadores advierten que el grupo ruso continúa demostrando una seguridad operativa excepcional para evitar que los analistas descubran y expongan sus métodos de ataque.

En un informe publicado hoy, Mandiant destaca algunas de las tácticas avanzadas de APT29 y algunos de sus TTP (tácticas, técnicas y procedimientos) más recientes.

Centrándose en Microsoft 365
Los usuarios de Microsoft 365 con una licencia E5 de grado superior disfrutan de una función de seguridad llamada "Auditoría de ámbito" (anteriormente, Auditoría avanzada). Cuando está habilitada, esta función registra agentes de usuario, direcciones IP, marcas de tiempo y nombres de usuario cada vez que se accede a un correo electrónico independientemente del programa (Outlook, navegador, Graph API).

Los intrusos sigilosos de la red como APT29 preferirían que sus movimientos no fueran rastreados ni registrados. Entonces, para evadir las auditorías en cuentas comprometidas, los piratas informáticos desactivan la función Purview Audit en un usuario específico antes de que toquen sus carpetas de correo.

"Esta es una fuente de registro crítica para determinar si un actor de amenazas está accediendo a un buzón en particular, así como para determinar el alcance de la exposición", advierte Mandiant en un documento técnico de APT 29 .

"Es la única forma de determinar de manera efectiva el acceso a un buzón en particular cuando el actor de amenazas utiliza técnicas como la suplantación de identidad de la aplicación o Graph API".

El segundo hallazgo interesante de Mandiant es que APT29 aprovecha el proceso de autoinscripción para la autenticación multifactor (MFA) en Azure Active Directory (AD).

Cuando los usuarios intentan iniciar sesión en un dominio con políticas de inscripción automática por primera vez, Windows les pedirá que habiliten MFA en la cuenta.

windows-ad-mfa-enrollment

Los piratas informáticos rusos realizaron ataques de fuerza bruta contra nombres de usuario y contraseñas de cuentas que nunca habían iniciado sesión en el dominio y registrado sus dispositivos en MFA.

La activación de MFA cumple con el prerrequisito de seguridad relevante para usar la infraestructura VPN de la organización comprometida, por lo que APT29 puede moverse libremente en la red violada.

Finalmente, Mandiant observó al grupo de amenazas usando Azure Virtual Machines a través de cuentas comprometidas o comprando el servicio para ocultar su rastro.

Las máquinas virtuales de Azure "contaminan" los registros con las direcciones IP de Microsoft y, dado que Microsoft 365 se ejecuta en Azure, es difícil para los defensores distinguir el tráfico regular de las acciones maliciosas.

APT29 ofusca aún más su actividad de administración de Azure AD al combinar acciones maliciosas como servicios de puerta trasera para recopilar correos electrónicos con la adición de direcciones URL de aplicaciones benignas.

La punta de lanza de Rusia

APT29 es uno de los grupos de piratería más hábiles de Rusia, y los hallazgos recientes de Mandiant subrayan su alto nivel de preparación y profundo conocimiento de las funciones del software objetivo.

En enero de 2022, CrowdStrike descubrió que APT29 omitió los pasos de MFA en las cuentas de O365  durante años y usó cookies de navegador robadas para secuestrar sesiones válidas.

En mayo de 2022, Mandiant descubrió  una ola de campañas de phishing  orquestadas por el grupo de amenazas en particular, dirigidas a gobiernos, embajadas y funcionarios de alto rango en toda Europa.

En julio de 2022, los analistas de Palo Alto Networks revelaron que APT29 abusaba   de los servicios de almacenamiento en la nube de Google Drive y Dropbox para una implementación más segura de malware y exfiltración de datos.

 

Fuente: Bleepingcomputer

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies