El actor de amenazas conocido como Midnight Blizzard y Nobelium es un grupo de ciberdelincuentes dedicados al espionaje, alineados con el Servicio de Inteligencia Exterior de Rusia que, según un estudio realizado por los investigadores de Microsoft Threat Analysis Center en 2023, llegó a perseguir el acceso de más de 240 organizaciones desde marzo a diciembre de dicho año.
En concreto, sus objetivos suelen ser organizaciones gubernamentales, ONG, desarrolladores de 'software' y proveedores de servicios. Asimismo, habitualmente operan en Estados Unidos, Canadá y otros países europeos. Todo ello con la intención de recopilar información "en apoyo de los intereses de la política exterior rusa", según Microsoft.
En este marco, Microsoft apuntó en enero de este año que había identificado un ataque por parte de los actores maliciosos de Midnight Blizzard, que consiguieron violar sus sistemas corporativos, que comenzó en noviembre de 2023.
Una vez identificado el ataque, la compañía activó un proceso de respuesta para investigar, interrumpir la actividad maliciosa, mitigar el ataque y negarle acceso adicional al actor de la amenaza. Sin embargo, los ciberdelincuentes consiguieron robar correos electrónicos de trabajadores con el objetivo de extraer información relevante.
No obstante, Microsoft también puntualizó que, por el momento, no había evidencia de que los ciberdelincuentes tuvieran acceso a los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial (IA).
Ahora, la compañía tecnológica estadounidense ha compartido una actualización en su blog de seguridad, donde ha explicado cómo llevó a cabo Midnight Blizzard este último ataque, utilizando ataques de "rociado de contraseñas" a través servidores 'proxy' residenciales.
Tal y como ha explicado Microsoft, los investigadores pudieron identificar estos ataques en los datos de registro al revisar la actividad de Exchange Web Services (EWS) y utilizar sus funciones de registro de auditoría, combinadas con su «amplio conocimiento» de Midnight Blizzard.
Habitualmente, las operaciones de Midnight Blizzard implican el compromiso de cuentas válidas y, en algunos casos, "técnicas avanzadas" para comprometer los mecanismos de autenticación dentro de una organización y, de esta forma, ampliar el acceso y evadir la detección.
Es decir, utilizan diversos métodos de acceso inicial que van desde credenciales robadas hasta ataques a la cadena de suministro. Otro de los métodos que llevan a cabo es abusar de aplicaciones OAuth, el estándar abierto para la autenticación y autorización basada en 'tokens', que permite a las aplicaciones obtener acceso a datos según los permisos establecidos por el usuario.
Pulverización de contraseñas y servidores 'proxy' residenciales
En el caso concreto del ataque iniciado en noviembre de 2023, el grupo de ciberdelincuentes utilizó el método de «pulverización de contraseñas», con lo que lograron comprometer «una cuenta de inquilino de prueba heredada que no era de producción», y que no tenía habilitada la autenticación multifactor (MFA).
Los ataques de «pulverización de contraseñas» se basan en un sistema con el que los ciberdelincuentes intentan iniciar sesión en una gran cantidad de cuentas a la vez, probando con un conjunto limitado de contraseñas que consideran populares o probables.
Así, en el caso de Microsoft, consiguieron acceder a una cuenta de inquilino de prueba heredada que no disponía de autenticación multifactor, ya que se adaptó el ataque de pulverización de contraseñas a «un número limitado de cuentas» y «un número reducido de intentos».
De esta forma, al utilizar pocas contraseñas y, por tanto, un número reducido de intentos, consiguieron evadir la detección del ataque y evitar bloqueos de cuentas en función del volumen de fallos.
Además, para aumentar la seguridad y evitar que Microsoft detectase el ataque, Midnight Blizzard realizó la «pulverización de contraseñas» a través de una infraestructura de 'proxy' residencial distribuida. Esto permitió que los ciberdelincuentes ocultasen su actividad y, por tanto, pudiesen realizar dicho ataque de forma contínua, hasta dar con la contraseña y poder acceder a dicha cuenta.
Abuso de aplicaciones oauth
La cuenta de inquilino de prueba heredada de Microsoft que lograron comprometer disponía de acceso a una aplicación OAuth. En este sentido, Midnight Blizzard aprovechó y comprometió dicha aplicación que, además, tenía «acceso elevado al entorno corporativo de Microsoft», para crear aplicaciones OAuth adicionales.
Tras ello, crearon una nueva cuenta de usuario con la que "otorgar consentimiento en el entorno corporativo de Microsoft a las aplicaciones OAuth maliciosas controladas por el actor" y, una vez estuvieron aceptadas, los ciberdenincuentes utilizaron OAuth para otorgarles acceso a la aplicación de Office 365 Exchange Online, desde la que pudieron obtener otros buzones de correo.
Según ha sentenciado Microsoft, este incidente ha puesto de relieve la «urgente necesidad de actuar aún más rápido», frente a este tipo de amenazas.
Detectar y bloquear estos ataques
En base a todos los datos recabados por el grupo Microsoft Threat Intelligence, la compañía ha podido detectar el mismo modus operandi para otras organizaciones por parte de Midnight Blizzard, por lo que han comenzado a notificar a dichas organizaciones la posibilidad de ser un objetivo.
De cara a obtener más protección, Microsoft también ha recomendado utilizar consultas de búsqueda dirigidas proporcionadas por Microsoft Defender XDR y Microsoft Sentinel, con el objetivo de identificar e investigar actividades sospechosas.
Asimismo, a través de XDR y Sentinel, Microsoft también ha recordado que lanza alertas sobre posibles situaciones en las que pueden actuar los ciberdelincuentes, como cuando una aplicación con permisos de solo aplicación accede a numerosos correos electrónicos. Es decir, cuando hay una actividad elevada en la nube desde la que se accede al correo electrónico, lo que podría significar un intento de recuperación de datos.
También se lanzan avisos en los casos de aumento de llamadas a la API después de actualizar las credenciales en aplicaciones OAuth que no son de Microsoft. En este caso, se trataría de un acceso no autorizado o una filtración de datos, según ha explicado la compañía.
Igualmente, otra alerta se lanzaría en el caso de identificar aplicaciones OAuth creadas por usuarios sospechosos que accedían a elementos del buzon, ya que podría sugerir la explotación de la cuenta comprometida. Además de todo ello, se avisaría en caso de identificar metadatos de aplicaciones asociadas con actividad sospechosa relacionada con 'malware'.
Sin comentarios
Para comentar es necesario estar registrado en Ultima Hora
De momento no hay comentarios.