La empresa de ciberseguridad Proofpoint ha observado una nueva campaña maliciosa dirigida a docenas de entornos de Microsoft Azure.
Los actores de amenazas se han dirigido a cientos de personas con múltiples funciones operativas y ejecutivas en diferentes organizaciones. Estos incluyen directores de ventas, gerentes de cuentas, gerentes financieros, vicepresidentes, presidentes, directores financieros y directores ejecutivos.La campaña comenzó en noviembre de 2023 y todavía está activa, advirtió Proofpoint en un aviso de seguridad publicado el 12 de febrero de 2024.
Por lo general, los actores de amenazas envían a sus víctimas a través de señuelos de phishing (es decir, correos electrónicos maliciosos individualizados) que incluyen documentos compartidos.
Una vez que la víctima hace clic en el enlace malicioso, que instala una carga útil, los actores de la amenaza utilizan un agente de usuario de Linux específico para acceder a una variedad de aplicaciones nativas de Microsoft365 de sus víctimas, así como a su aplicación de inicio de sesión “OfficeHome”.
Después de obtener acceso a estas aplicaciones, llevan a cabo una serie de actividades posteriores al compromiso, incluidas las siguientes:
Manipulación de autenticación multifactor (MFA), Exfiltración de datos, Phishing interno y externo, Fraude financiero
También crean reglas de ofuscación dedicadas en el buzón de correo de la víctima para cubrir sus huellas y borrar toda evidencia de actividad maliciosa.
Proofpoint compartió una lista de recomendaciones para prevenir y mitigar esta campaña. Éstas incluyen:
Hacer cumplir cambios periódicos de contraseña para todos los usuarios
Imponer cambios inmediatos de credenciales para usuarios comprometidos y específicos
Escanee periódicamente sus sistemas de TI para encontrar la cadena de agente de usuario específica y los dominios de origen en los registros de su organización.
Identificación de apropiación de cuentas (ATO) y posible acceso no autorizado a recursos confidenciales en su entorno de nube
Identificación de vectores de amenazas iniciales, incluidas amenazas por correo electrónico, ataques de fuerza bruta e intentos de pulverización de contraseñas.
Emplear políticas de corrección automática para reducir el tiempo de permanencia de los atacantes y minimizar los daños potenciales.
Info – Ciberseguridad Latam