Los ciberespías rusos derrotan el número de Microsoft

Jun 25, 2023

Los ataques de phishing por parte del grupo de amenazas persistentes avanzadas Midnight Blizzard se dirigieron a inquilinos de pequeñas empresas de Microsoft 365.

Un grupo de ciberespionaje estatal ruso conocido como APT29 ha estado lanzando ataques de phishing contra organizaciones que utilizan mensajes de seguridad falsos en Microsoft Teams en un intento de derrotar el método de notificación push de autenticación de dos factores (2FA) de Microsoft que se basa en la coincidencia de números. "Nuestra investigación actual indica que esta campaña ha afectado a menos de 40 organizaciones globales únicas", dijo Microsoft en un informe. "Las organizaciones objetivo de esta actividad probablemente indican objetivos de espionaje específicos de Midnight Blizzard dirigidos al gobierno, organizaciones no gubernamentales (ONG), servicios de TI, tecnología, fabricación discreta y sectores de medios".

Midnight Blizzard es el nombre recientemente designado por Microsoft para APT29, un grupo de amenazas que ha estado operando durante muchos años y que los gobiernos de EE. UU. y el Reino Unido consideran el brazo de piratería del servicio de inteligencia exterior de Rusia, el SVR. APT29, también conocido en la industria de la seguridad como Cozy Bear o NOBELIUM, estuvo detrás del ataque a la cadena de suministro de software SolarWinds de 2020 que afectó a miles de organizaciones en todo el mundo, pero también fue responsable de ataques contra muchas instituciones gubernamentales, misiones diplomáticas y empresas de base industrial militar de todo el mundo. el mundo a lo largo de los años.

APT29 obtiene acceso a sistemas y redes utilizando una gran variedad de métodos, incluidos exploits de día cero, abusando de las relaciones de confianza entre diferentes entidades dentro de entornos de nube, implementando correos electrónicos de phishing y páginas web para servicios populares, mediante pulverización de contraseñas y ataques de fuerza bruta. y a través de archivos adjuntos de correo electrónico maliciosos y descargas web.

Los últimos ataques de phishing detectados por Microsoft comenzaron en mayo y probablemente formaron parte de una campaña más amplia de compromiso de credenciales que primero resultó en el secuestro de inquilinos de Microsoft 365 que pertenecían a pequeñas empresas. Los inquilinos de Microsoft 365 obtienen un subdominio en el dominio generalmente confiable onmicrosoft.com, por lo que los atacantes cambiaron el nombre de los inquilinos secuestrados a subdominios creados con nombres relacionados con la seguridad y el producto para dar credibilidad al siguiente paso en su ataque de ingeniería social.

El segundo paso implicó apuntar a cuentas de otras organizaciones para las que ya obtuvieron credenciales o que tenían habilitada una política de autenticación sin contraseña. Ambos tipos de cuentas han habilitado la autenticación multifactor a través de lo que Microsoft llama notificaciones automáticas de coincidencia de números.

El método de notificación push 2FA implica que los usuarios reciban una notificación en su dispositivo móvil a través de una aplicación para autorizar un intento de inicio de sesión. Es una implementación común en muchos sitios web, pero los atacantes comenzaron a explotarla con lo que se conoce como fatiga 2FA o MFA, una táctica de ataque que implica enviar spam a un usuario cuyas credenciales han sido robadas con solicitudes continuas de autorización push hasta que piensan que el sistema no funciona correctamente y acéptelo, o peor aún, envíe spam a los usuarios con llamadas telefónicas 2FA en medio de la noche para aquellos que tienen esta opción habilitada.

Otra forma común de implementar 2FA es hacer que el sitio web requiera un código generado por una aplicación de autenticación en el teléfono del usuario. Sin embargo, los atacantes también han encontrado formas de eludir ese método mediante la implementación de páginas de phishing que actúan como servidores proxy inversos entre el usuario y el sitio web o servicio de destino.

En respuesta a este tipo de ataques, Microsoft implementó otro método 2FA que implica que los sitios web de Microsoft envíen una notificación automática a la aplicación Microsoft Authenticator en el dispositivo móvil del usuario que le solicita que ingrese un número dentro de la aplicación. Este número lo muestra el sitio web durante el proceso de autenticación. Este método se llama coincidencia de números y se convirtió en el método predeterminado para todas las notificaciones push de Microsoft Authenticator a partir del 8 de mayo.

Ahora, si un atacante intenta autenticarse con las credenciales robadas de un usuario, se le pedirá al usuario en su aplicación Microsoft Authenticator que ingrese un número para completar el proceso 2FA, pero el usuario no sabe el número que muestra el sitio web porque no es él. quién inició la autenticación en su navegador. Entonces APT29 se propuso superar este nuevo desafío.

La forma en que lo lograron fue contactando a los usuarios objetivo a través de Microsoft Teams desde cuentas creadas bajo los subdominios onmicrosoft.com que configuraron en los inquilinos de Microsoft 365 secuestrados. Por ejemplo, las víctimas vieron solicitudes de chat de Teams como "Microsoft Identity Protection (externo) quiere chatear con usted" provenientes de [email protected].

Si se aceptaba la solicitud de contacto, iba seguido de un mensaje que le decía a la víctima que se detectaron cambios en la configuración de autenticación multifactor de sus cuentas y que necesitaba abrir su aplicación Microsoft Authenticator y escribir un número determinado para ayudar a verificar su identidad. . Por supuesto, el número fue el que los atacantes recibieron del sitio web de Microsoft y era necesario para evitar la autenticación de dos factores para acceder a la cuenta.

"Luego, el actor procede a realizar una actividad posterior al compromiso, que generalmente implica el robo de información del inquilino de Microsoft 365 comprometido", dijeron los investigadores de Microsoft. “En algunos casos, el actor intenta agregar un dispositivo a la organización como dispositivo administrado a través de Microsoft Entra ID (anteriormente Azure Active Directory), probablemente un intento de eludir las políticas de acceso condicional configuradas para restringir el acceso a recursos específicos solo a dispositivos administrados. "

Las recomendaciones de Microsoft para que las organizaciones mitiguen estos ataques incluyen: