En un reciente comunicado, Microsoft ha revelado una serie de ataques de ingeniería social altamente dirigidos perpetrados por un actor de amenaza estatal ruso, utilizando el robo de credenciales a través de cebos de phishing en forma de chats de Microsoft Teams.
La compañía de tecnología atribuyó los ataques a un grupo al que sigue la pista llamado Midnight Blizzard (anteriormente conocido como Nobelium), también conocido como APT29, BlueBravo, Cozy Bear, Iron Hemlock y The Dukes.
Según Microsoft, el grupo de amenazas utiliza inquilinos de Microsoft 365 previamente comprometidos pertenecientes a pequeñas empresas para crear nuevos dominios que parecen ser entidades de soporte técnico. A través de estos dominios, Midnight Blizzard envía mensajes en Teams con el objetivo de robar credenciales de una organización objetivo, involucrando a un usuario y solicitando la aprobación de las solicitudes de autenticación multifactor (MFA).
La campaña, que se observa desde al menos finales de mayo de 2023, ha afectado a menos de 40 organizaciones en todo el mundo, abarcando sectores gubernamentales, organizaciones no gubernamentales (ONG), servicios de TI, tecnología, fabricación discreta y medios de comunicación.
El actor de amenazas ha sido observado utilizando técnicas de robo de tokens para acceder inicialmente a los entornos objetivo, junto con otros métodos como el spear-phishing de autenticación, el ataque de contraseña por pulverización y los ataques de fuerza bruta.
Una característica conocida es su explotación de entornos locales para moverse lateralmente hacia la nube, así como el abuso de la cadena de confianza de los proveedores de servicios para obtener acceso a clientes secundarios, como se observó en el hackeo de SolarWinds en 2020.
En los nuevos ataques relacionados con Midnight Blizzard, se agrega un nuevo subdominio onmicrosoft.com a un inquilino previamente comprometido en los ataques, seguido de la creación de un nuevo usuario con ese subdominio para iniciar una solicitud de chat en Teams con posibles objetivos, haciéndose pasar por una persona de soporte técnico o por el equipo de Protección de Identidad de Microsoft.
"Si el usuario objetivo acepta la solicitud de mensaje, el usuario recibe un mensaje de Microsoft Teams del atacante intentando convencerlo de ingresar un código en la aplicación Microsoft Authenticator en su dispositivo móvil", explicó Microsoft.
Si la víctima sigue las instrucciones, el actor de amenazas obtiene un token para autenticarse como el usuario objetivo, lo que permite el secuestro de la cuenta y actividades posteriores de compromiso.
"En algunos casos, el actor intenta agregar un dispositivo a la organización como un dispositivo administrado a través de Microsoft Entra ID (anteriormente Azure Active Directory), probablemente como un intento de eludir las políticas de acceso condicional configuradas para restringir el acceso a recursos específicos solo a dispositivos administrados", advirtió Microsoft.
Estos hallazgos llegan días después de que se atribuyera al actor de amenazas ataques de phishing dirigidos a entidades diplomáticas en Europa del Este con el objetivo de entregar una nueva puerta trasera llamada GraphicalProton.
También se descubrieron varios vectores de ataque nuevos de Azure AD (AAD) Connect que podrían permitir a los actores cibernéticos maliciosos crear una puerta trasera indetectable al robar hashes criptográficos de contraseñas mediante la inyección de código malicioso en un proceso de sincronización de hashes y al interceptar credenciales mediante un ataque de intermediario.
"Por ejemplo, los atacantes pueden aprovechar la extracción de hashes NT para asegurarse de recibir cada cambio de contraseña futuro en el dominio", afirmó Sygnia en un comunicado.
"Los actores de amenazas también pueden utilizar los Servicios de Certificados de Active Directory para obtener contraseñas de AAD Connector, así como actuar como intermediarios y lanzar ataques contra canales encriptados con SSL en la red, aprovechando configuraciones incorrectas en las plantillas de certificados que tienen autenticación del servidor".