\n<\/aside>\n<\/p>\n
Cientos de cuentas de Microsoft Azure, algunas pertenecientes a altos ejecutivos, est\u00e1n siendo atacadas por atacantes desconocidos en una campa\u00f1a en curso que apunta a robar datos confidenciales y activos financieros de docenas de organizaciones, dijeron el lunes investigadores de la firma de seguridad Proofpoint.<\/p>\n
La campa\u00f1a intenta comprometer entornos de Azure espec\u00edficos enviando a los propietarios de cuentas correos electr\u00f3nicos que integran t\u00e9cnicas de phishing de credenciales y apropiaci\u00f3n de cuentas. Los actores de amenazas lo hacen combinando se\u00f1uelos de phishing individualizados con documentos compartidos. Algunos de los documentos incluyen enlaces que, al hacer clic, redirigen a los usuarios a una p\u00e1gina web de phishing. La amplia gama de roles objetivo indica la estrategia de los actores de amenazas de comprometer cuentas con acceso a diversos recursos y responsabilidades en las organizaciones afectadas.<\/p>\n
\u00abLos actores de amenazas aparentemente dirigen su atenci\u00f3n hacia una amplia gama de personas que poseen diversos t\u00edtulos en diferentes organizaciones, lo que afecta a cientos de usuarios en todo el mundo\u00bb, afirma un aviso de Proofpoint. \u201cLa base de usuarios afectados abarca un amplio espectro de puestos, con objetivos frecuentes que incluyen directores de ventas, gerentes de cuentas y gerentes financieros. Entre los objetivos tambi\u00e9n se encontraban personas que ocupaban puestos ejecutivos como \u00abVicepresidente de Operaciones\u00bb, \u00abDirector financiero y tesorero\u00bb y \u00abPresidente y director ejecutivo\u00bb.<\/p>\n
Una vez que las cuentas se ven comprometidas, los actores de amenazas las protegen inscribi\u00e9ndolas en diversas formas de autenticaci\u00f3n multifactor. Esto puede dificultar que las v\u00edctimas cambien contrase\u00f1as o accedan a paneles para examinar los inicios de sesi\u00f3n recientes. En algunos casos, la MFA utilizada se basa en contrase\u00f1as de un solo uso enviadas mediante mensajes de texto o llamadas telef\u00f3nicas. Sin embargo, en la mayor\u00eda de los casos, los atacantes emplean una aplicaci\u00f3n de autenticaci\u00f3n con notificaciones y c\u00f3digo.<\/p>\n\nAgrandar
\/<\/span> Ejemplos de eventos de manipulaci\u00f3n de MFA, ejecutados por atacantes en un inquilino de nube comprometido. <\/div>\nPunto de prueba<\/p>\n<\/figcaption><\/figure>\n
Proofpoint observ\u00f3 otras acciones posteriores al compromiso, entre ellas:<\/p>\n
\nExfiltraci\u00f3n de datos. <\/strong>Los atacantes acceden y descargan archivos confidenciales, incluidos activos financieros, protocolos de seguridad internos y credenciales de usuario.<\/li>\nPhishing interno y externo.<\/strong> El acceso al buz\u00f3n se aprovecha para realizar movimientos laterales dentro de las organizaciones afectadas y apuntar a cuentas de usuarios espec\u00edficas con amenazas de phishing personalizadas.<\/li>\nFraude financiero.<\/strong> En un esfuerzo por perpetrar fraude financiero, se env\u00edan mensajes de correo electr\u00f3nico internos a los departamentos de Recursos Humanos y Financieros de las organizaciones afectadas.<\/li>\nReglas del buz\u00f3n. <\/strong>Los atacantes crean reglas de ofuscaci\u00f3n dedicadas destinadas a cubrir sus huellas y borrar toda evidencia de actividad maliciosa de los buzones de correo de las v\u00edctimas.<\/li>\n<\/ul>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\nAgrandar
\/<\/span> Ejemplos de reglas de ofuscaci\u00f3n de buzones de correo creadas por atacantes luego de una apropiaci\u00f3n exitosa de una cuenta. <\/div>\nPunto de prueba<\/p>\n<\/figcaption><\/figure>\n
Los compromisos provienen de varios servidores proxy que act\u00faan como intermediarios entre la infraestructura de origen de los atacantes y las cuentas objetivo. Los servidores proxy ayudan a los atacantes a alinear la ubicaci\u00f3n geogr\u00e1fica asignada a la direcci\u00f3n IP de conexi\u00f3n con la regi\u00f3n del objetivo. Esto ayuda a eludir varias pol\u00edticas de geocercas que restringen la cantidad y ubicaci\u00f3n de las direcciones IP que pueden acceder al sistema de destino. Los servicios de proxy a menudo cambian a mitad de la campa\u00f1a, una estrategia que dificulta que quienes se defienden de los ataques bloqueen las IP donde se originan las actividades maliciosas.<\/p>\n
Otras t\u00e9cnicas dise\u00f1adas para ofuscar la infraestructura operativa de los atacantes incluyen servicios de alojamiento de datos y dominios comprometidos.<\/p>\n
\u00abM\u00e1s all\u00e1 del uso de servicios proxy, hemos visto a atacantes utilizar ciertos ISP locales de l\u00ednea fija, exponiendo potencialmente sus ubicaciones geogr\u00e1ficas\u00bb, dec\u00eda la publicaci\u00f3n del lunes. \u201cEntre estas fuentes no representativas destacan ‘Selena Telecom LLC’, con sede en Rusia, y los proveedores nigerianos ‘Airtel Networks Limited’ y ‘MTN Nigeria Communication Limited’. Si bien Proofpoint no ha atribuido actualmente esta campa\u00f1a a ning\u00fan actor de amenazas conocido, existe la posibilidad de que atacantes rusos y nigerianos est\u00e9n involucrados, estableciendo paralelismos con ataques anteriores a la nube\u201d.<\/p>\n
C\u00f3mo comprobar si eres un objetivo<\/h2>\n Hay varios signos reveladores de que se est\u00e1 apuntando a un objetivo. El m\u00e1s \u00fatil es un agente de usuario espec\u00edfico utilizado durante la fase de acceso del ataque: Mozilla\/5.0 (X11; Linux x86_64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/120.0.0.0 Safari\/537.36<\/code><\/p>\nLos atacantes utilizan predominantemente este agente de usuario para acceder a la aplicaci\u00f3n de inicio de sesi\u00f3n ‘OfficeHome’ junto con el acceso no autorizado a aplicaciones nativas adicionales de Microsoft365, como:<\/p>\n