Una campaña de ataques en entornos de Azure compromete cientos de cuentas

Investigadores de seguridad de Proofpoint han advertido de una campaña de apropiación de cuentas en la nube en curso que ha afectado a docenas de entornos de Microsoft Azure en organizaciones de todo el mundo. Los atacantes han comprometido cientos de cuentas desde finales de noviembre desde 2023, incluyendo las de altos directivos.

“La variada selección de roles específicos indica una estrategia práctica por parte de los ciberdelincuentes, con el objetivo de comprometer cuentas con varios niveles de acceso a recursos valiosos y responsabilidades en todas las funciones corporativas”, dice el informe.

Los títulos observados a los que se apuntaban son director de ventas, gerente de cuentas, gerente de finanzas, vicepresidente de operaciones, director financiero, presidente y director ejecutivo. Una vez que una cuenta es comprometida, los atacantes añaden su propio número de teléfono o aplicación de autenticación como método multifactor para mantener la persistencia.

Las campañas utilizan señuelos de phishing personalizados

Según Proofpoint, los usuarios seleccionados son atacados a través de la funcionalidad de documentos compartidos utilizando señuelos de phishing hechos a medida para ellos y que generalmente proceden de otras cuentas comprometidas dentro de la misma organización. Los documentos contienen enlaces maliciosos ocultos detrás de instrucciones como “ver documento” que redirigen a una página de phishing que pide autentificación. Aunque esta técnica no es particularmente novedosa, la focalización y el movimiento lateral han aumentado la tasa de éxito y demuestran que los métodos de phishing relativamente básicos siguen siendo exitosos contra muchos empleados.

Después de comprometer una cuenta, los atacantes toman varias medidas para asegurarse de mantener el acceso a ella y no ser descubiertos fácilmente. Además de agregar su propio método MFA para poder superar los desafíos de MFA en el futuro, los atacantes crean reglas de buzón de correo destinadas a ocultar sus rastros y borrar evidencia de su actividad maliciosa.

El objetivo final del ataque parece ser el fraude financiero o el compromiso del correo electrónico empresarial (BEC), en el que los atacantes envían correos electrónicos desde cuentas comprometidas a los empleados de los departamentos de recursos humanos y financieros. Los atacantes también descargarán archivos confidenciales que contienen información sobre activos financieros, protocolos de seguridad internos y credenciales de usuario para preparar mejor sus mensajes de fraude. El movimiento lateral también es un componente clave del ataque, ya que se envían correos electrónicos de phishing a otros empleados clave de la organización desde las cuentas comprometidas.

Indicadores del ataque de apropiación de cuentas de Microsoft Azure

"Nuestro análisis forense del ataque ha revelado varios servidores proxy, servicios de alojamiento de datos y dominios secuestrados, que constituyen la infraestructura operativa de los atacantes", dijeron los investigadores de Proofpoint. “Se observó que los atacantes empleaban servicios proxy para alinear el origen geográfico aparente de actividades no autorizadas con el de las víctimas objetivo, evadiendo las políticas de geocercado. Además, el uso de servicios proxy que se alternan con frecuencia permite a los actores de amenazas enmascarar su verdadera ubicación y crea un desafío adicional para los defensores que buscan bloquear actividades maliciosas”. Dicho esto, también se observó que los atacantes utilizaban algunas direcciones IP fijas de ISP en Rusia y Nigeria en ocasiones, potencialmente en errores que revelaban su verdadera ubicación.

Los investigadores también observaron que los atacantes utilizan dos cadenas únicas de agente de usuario al acceder a las cuentas comprometidas. Estos podrían usarse, junto con los dominios de infraestructura y la información de IP, como indicadores de compromiso para crear reglas de detección.

Las aplicaciones de Microsoft a las que se accede con más frecuencia en los registros serán OfficeHome, Office365 Shell WCSS-Client (la aplicación de Office 365 del navegador web), Office 365 Exchange Online, Mis inicios de sesión, Mis aplicaciones y Mi perfil.

Consejos de mitigación para intentos de apropiación de cuentas de Microsoft Azure

Proofpoint aconseja a las organizaciones monitorear la cadena de usuario-agente específica y los dominios de origen en sus registros, forzar inmediatamente cambios de credenciales para los usuarios específicos o comprometidos y forzar cambios periódicos de contraseña para todos los usuarios. Las organizaciones también deben intentar identificar cualquier actividad posterior al compromiso, así como los vectores de entrada iniciales: phishing, malware, suplantación de identidad, fuerza bruta, pulverización de contraseñas, etc. La creación y el empleo de políticas de corrección automática podrían minimizar el acceso de los atacantes a las cuentas y el daño potencial.