El actor de amenazas patrocinado por el estado ruso Cozy Bear (también conocido como APT29 o Nobelium) está desplegando nuevas tácticas para colarse en las cuentas de Microsoft 365, en un intento de robar información confidencial sobre política exterior.
Esto es según un nuevo informe de la firma de seguridad cibernética Mandiant, que afirma que Cozy Bear está utilizando tres técnicas para ejecutar (y disfrazar) los ataques:
- Deshabilitar Purview Audit antes de interactuar con una cuenta de correo electrónico comprometida
- Contraseñas de Microsoft 365 de fuerza bruta que aún no se han inscrito en la autenticación multifactor (MFA)
- Cubriendo sus huellas usando Azure Virtual Machines a través de cuentas comprometidas o comprando el servicio
Nuevo ataque de Microsoft 365
Purview Audit, recuerdan los investigadores, es una función de seguridad de alto nivel que registra si una persona accede a una cuenta de correo electrónico fuera del programa (ya sea a través del navegador, Graph API o Outlook). De esa forma, los departamentos de TI pueden administrar todas las cuentas y asegurarse de que no haya accesos no autorizados.
«Esta es una fuente de registro crítica para determinar si un actor de amenazas está accediendo a un buzón en particular, así como para determinar el alcance de la exposición», escribió Mandiant. «Es la única forma de determinar de manera efectiva el acceso a un buzón en particular cuando el actor de amenazas utiliza técnicas como la suplantación de identidad de la aplicación o Graph API».
Sin embargo, APT29 es muy consciente de esta función y se asegura de desactivarla antes de acceder a cualquier correo electrónico.
Los investigadores también encontraron que Cozy Bear abusaba del proceso de inscripción automática para MFA en Azure Active Directory (AD). Cuando un usuario intenta iniciar sesión por primera vez, primero deberá habilitar MFA en la cuenta.
Los actores de amenazas buscan solucionar esta función forzando las cuentas de fuerza bruta que aún no se han inscrito en la función de ciberseguridad avanzada. Luego, completan el proceso en lugar de la víctima, otorgando acceso continuo a la infraestructura VPN de la organización objetivo y, por lo tanto, a toda la red y sus puntos finales.
Por último, las máquinas virtuales de Azure ya tienen direcciones IP de Microsoft y, debido a que Microsoft 365 se ejecuta en Azure, los equipos de TI tienen dificultades para diferenciar el tráfico regular del malicioso. Cozy Bear puede ocultar aún más su actividad de Azure AD combinando URL de direcciones de aplicaciones regulares con actividad maliciosa.
La probabilidad de que los usuarios regulares sean atacados por el grupo de amenazas es probablemente relativamente pequeña, pero las grandes empresas deberán estar alertas al vector de ataque, que podría usarse para apuntar a ejecutivos de alto perfil y otras personas con acceso a información confidencial.