Microsoft confirmó que el grupo de piratería del Servicio de Inteligencia Exterior de Rusia, que pirateó las cuentas de correo electrónico de sus ejecutivos en noviembre de 2023, también violó otras organizaciones como parte de esta campaña maliciosa.
Se cree que Midnight Blizzard (también conocido como Nobelium o APT29) es un grupo de ciberespionaje respaldado por el estado y vinculado al Servicio de Inteligencia Exterior de Rusia (SVR), que apunta principalmente a organizaciones gubernamentales, ONG, desarrolladores de software y proveedores de servicios de TI en Estados Unidos y Europa.
El 12 de enero de 2024, Microsoft descubrió que los piratas informáticos rusos violaron sus sistemas en noviembre de 2023 y robaron correos electrónicos de sus equipos de liderazgo, ciberseguridad y legales. Algunos de estos correos electrónicos contenían información sobre el propio grupo de hackers, lo que permitió a los actores de amenazas saber lo que Microsoft sabía sobre ellos.
Microsoft ahora explica que los actores de amenazas utilizaron servidores proxy residenciales y ataques de fuerza bruta de “rociado de contraseñas” para apuntar a una pequeña cantidad de cuentas, siendo una de estas cuentas una “cuenta de inquilino de prueba heredada que no es de producción”.
Cuando Microsoft reveló por primera vez la infracción, muchos se preguntaron si MFA estaba habilitada en esta cuenta de prueba y cómo una cuenta heredada de prueba tendría privilegios suficientes para extenderse lateralmente a otras cuentas de la organización.
La empresa, ahora ha confirmado que MFA no estaba habilitado para esa cuenta, lo que permitió a los actores de amenazas acceder a los sistemas de Microsoft una vez que forzaron la contraseña correcta.
También, explica que esta cuenta de prueba tenía acceso a una aplicación OAuth con acceso elevado al entorno corporativo de Microsoft. Este acceso elevado permitió a los actores de amenazas crear aplicaciones OAuth adicionales para obtener acceso a otros buzones de correo corporativos, como se explica a continuación.
La compañía identificó la actividad maliciosa recuperando rastros en los registros de Exchange Web Services (EWS), combinados con tácticas y procedimientos conocidos utilizados por grupos de piratería patrocinados por el estado ruso.
Basándose en estos hallazgos, Microsoft pudo discernir ataques similares llevados a cabo por Midnight Blizzard, dirigidos a otras organizaciones.
Info – Ciberseguridad Latam