Getty Images Cientos de cuentas de Microsoft Azure, algunas pertenecientes a altos ejecutivos, están siendo atacadas por atacantes desconocidos en una campaña en curso que tiene como objetivo robar datos confidenciales y activos financieros de docenas de organizaciones, dijeron el lunes investigadores de la firma de seguridad Proofpoint. La campaña intenta comprometer entornos de Azure específicos enviando a los propietarios de cuentas correos electrónicos que integran técnicas de phishing de credenciales y apropiación de cuentas. Los actores de amenazas lo hacen combinando señuelos de phishing individualizados con documentos compartidos. Algunos de los documentos incluyen enlaces que, al hacer clic, redirigen a los usuarios a una página web de phishing. La amplia gama de roles objetivo indica la estrategia de los actores de amenazas de comprometer cuentas con acceso a diversos recursos y responsabilidades en las organizaciones afectadas. «Los actores de amenazas aparentemente dirigen su atención hacia una amplia gama de personas que poseen diversos títulos en diferentes organizaciones, lo que afecta a cientos de usuarios en todo el mundo», afirma un aviso de Proofpoint. “La base de usuarios afectados abarca un amplio espectro de puestos, con objetivos frecuentes que incluyen directores de ventas, gerentes de cuentas y gerentes financieros. Entre los objetivos también se encontraban personas que ocupaban puestos ejecutivos como «Vicepresidente de Operaciones», «Director financiero y tesorero» y «Presidente y director ejecutivo». Una vez que las cuentas se ven comprometidas, los actores de amenazas las protegen inscribiéndolas en diversas formas de autenticación multifactor. Esto puede dificultar que las víctimas cambien contraseñas o accedan a paneles para examinar los inicios de sesión recientes. En algunos casos, la MFA utilizada se basa en contraseñas de un solo uso enviadas mediante mensajes de texto o llamadas telefónicas. Sin embargo, en la mayoría de los casos, los atacantes emplean una aplicación de autenticación con notificaciones y código. Ampliar / Ejemplos de eventos de manipulación de MFA, ejecutados por atacantes en un inquilino de nube comprometido. Proofpoint Proofpoint observó otras acciones posteriores al compromiso, entre ellas: Exfiltración de datos. Los atacantes acceden y descargan archivos confidenciales, incluidos activos financieros, protocolos de seguridad internos y credenciales de usuario. Phishing interno y externo. El acceso al buzón se aprovecha para realizar movimientos laterales dentro de las organizaciones afectadas y apuntar a cuentas de usuarios específicas con amenazas de phishing personalizadas. Fraude financiero. En un esfuerzo por perpetrar fraude financiero, se envían mensajes de correo electrónico internos a los departamentos de Recursos Humanos y Financieros de las organizaciones afectadas. Reglas del buzón. Los atacantes crean reglas de ofuscación dedicadas destinadas a cubrir sus huellas y borrar toda evidencia de actividad maliciosa de los buzones de correo de las víctimas. Publicidad Ampliar / Ejemplos de reglas de ofuscación de buzones de correo creadas por atacantes luego de una apropiación exitosa de una cuenta. Punto de prueba Los compromisos provienen de varios servidores proxy que actúan como intermediarios entre la infraestructura de origen de los atacantes y las cuentas objetivo. Los servidores proxy ayudan a los atacantes a alinear la ubicación geográfica asignada a la dirección IP de conexión con la región del objetivo. Esto ayuda a eludir varias políticas de geocercas que restringen la cantidad y ubicación de las direcciones IP que pueden acceder al sistema de destino. Los servicios de proxy a menudo cambian a mitad de la campaña, una estrategia que dificulta que quienes se defienden de los ataques bloqueen las IP donde se originan las actividades maliciosas. Otras técnicas diseñadas para ofuscar la infraestructura operativa de los atacantes incluyen servicios de alojamiento de datos y dominios comprometidos. «Más allá del uso de servicios proxy, hemos visto a atacantes utilizar ciertos ISP locales de línea fija, exponiendo potencialmente sus ubicaciones geográficas», decía la publicación del lunes. “Entre estas fuentes no representativas destacan ‘Selena Telecom LLC’, con sede en Rusia, y los proveedores nigerianos ‘Airtel Networks Limited’ y ‘MTN Nigeria Communication Limited’. Si bien Proofpoint no ha atribuido actualmente esta campaña a ningún actor de amenazas conocido, existe la posibilidad de que atacantes rusos y nigerianos estén involucrados, estableciendo paralelismos con ataques anteriores a la nube”. Cómo comprobar si eres un objetivo Hay varios signos reveladores de que eres un objetivo. El más útil es un agente de usuario específico utilizado durante la fase de acceso del ataque: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/120.0.0.0 Safari/537.36 Los atacantes utilizan predominantemente este usuario. agente para acceder a la aplicación de inicio de sesión ‘OfficeHome’ junto con acceso no autorizado a aplicaciones nativas adicionales de Microsoft365, como: Office365 Shell WCSS-Client (indicativo de acceso del navegador a aplicaciones de Office365) Office 365 Exchange Online (indicativo de abuso del buzón posterior al compromiso , exfiltración de datos y proliferación de amenazas de correo electrónico) Mis inicios de sesión (utilizados por los atacantes para la manipulación de MFA) Mis aplicaciones Mi perfil Proofpoint incluyó los siguientes indicadores de compromiso: Indicador Tipo Descripción Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/120.0.0.0 Safari/537.36 User Agent User Agent involucrado en la fase de acceso del ataque Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/120.0.0.0 Safari/537.36 User Agent Agente de usuario involucrado en las fases de acceso y post-acceso del ataque Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/119.0.0.0 Safari/537.36 User Agent User Agent involucrado en las fases de acceso y post-acceso del ataque sachacel[.]ru Dominio Dominio utilizado para amenazas de phishing dirigidas lobnya[.]com Dominio Dominio de origen utilizado como makeapp de infraestructura maliciosa[.]hoy Dominio Dominio de origen utilizado como infraestructura maliciosa alexhost[.]com Dominio Dominio de origen utilizado como infraestructura maliciosa mol[.]ru Dominio Dominio de origen utilizado como smartape de infraestructura maliciosa[.]net Dominio Dominio de origen utilizado como infraestructura maliciosa airtel[.]com Dominio Dominio de origen utilizado como infraestructura maliciosa mtnonline[.]com Dominio Dominio de origen utilizado como infraestructura maliciosa acedatacenter[.]com Dominio Dominio de origen utilizado como infraestructura maliciosa Sokolov Dmitry Nikolaevich ISP ISP de origen utilizado como infraestructura maliciosa Dom Tehniki Ltd ISP ISP de origen utilizado como infraestructura maliciosa Selena Telecom LLC ISP ISP de origen utilizado como infraestructura maliciosa A medida que la campaña está en curso, Proofpoint puede actualizar los indicadores como habrá más disponibles. La compañía aconsejó a las empresas que presten mucha atención al agente de usuario y a los dominios de origen de las conexiones entrantes a las cuentas de los empleados. Otras defensas útiles son el empleo de defensas de seguridad que buscan signos tanto de compromiso inicial de la cuenta como de actividades posteriores al compromiso, identificando vectores iniciales de compromiso como phishing, malware o suplantación de identidad, e implementando políticas de corrección automática para expulsar rápidamente a los atacantes. el evento en el que entran.

Source link