En un reciente informe, Microsoft ha expuesto una serie de tácticas de phishing altamente sofisticadas implementadas por hackers rusos a través de chats de Microsoft Teams.
La gigante tecnológica atribuyó los ataques a un grupo que rastrea bajo el nombre de Midnight Blizzard, también conocido como APT29, BlueBravo, Cozy Bear, Iron Hemlock y The Dukes.
Según Microsoft, el grupo de amenazas ha estado utilizando inquilinos de Microsoft 365 previamente comprometidos, propiedad de pequeñas empresas, para crear nuevos dominios que aparentan ser entidades de soporte técnico.
A través de estos dominios, Midnight Blizzard envía mensajes de Teams que intentan robar las credenciales de una organización objetivo, involucrando a un usuario y solicitando la aprobación de prompts de autenticación multifactorial (MFA).
La campaña, que ha sido observada desde finales de mayo de 2023, ha afectado a menos de 40 organizaciones a nivel mundial, abarcando sectores gubernamentales, organizaciones no gubernamentales (ONGs), servicios de TI, tecnología, fabricación discreta y medios de comunicación.
El actor de amenazas ha demostrado utilizar técnicas de robo de tokens para obtener acceso inicial a los entornos objetivo, junto con otros métodos como spear-phishing de autenticación, rociado de contraseñas y ataques de fuerza bruta.
Otra característica conocida es su explotación de entornos locales para moverse lateralmente hacia la nube, así como el abuso de la cadena de confianza de los proveedores de servicios para acceder a los clientes downstream, como se observó en el hackeo de SolarWinds en 2020.
En la nueva ronda de ataques vinculados a Midnight Blizzard, se agrega un nuevo subdominio onmicrosoft.com a un inquilino previamente comprometido en los ataques.
Luego se crea un nuevo usuario con ese subdominio para iniciar una solicitud de chat de Teams con posibles objetivos, haciéndose pasar por una persona de soporte técnico o el equipo de Protección de Identidad de Microsoft.
Si el usuario objetivo acepta la solicitud de mensaje, recibe un mensaje de Microsoft Teams del atacante que intenta convencerlo de ingresar un código en la aplicación Microsoft Authenticator en su dispositivo móvil.
Si la víctima sigue las instrucciones, el actor de amenazas recibe un token para autenticarse como el usuario objetivo, lo que permite la toma de control de la cuenta y la actividad posterior al compromiso.
En algunos casos, el actor intenta agregar un dispositivo a la organización como un dispositivo administrado a través de Microsoft Entra ID (anteriormente Azure Active Directory), probablemente en un intento de eludir las políticas de acceso condicional configuradas para restringir el acceso a recursos específicos solo a dispositivos administrados.
Estos hallazgos llegan días después de que el actor de amenazas fuera atribuido a ataques de phishing dirigidos a entidades diplomáticas en toda Europa del Este con el objetivo de entregar un nuevo backdoor llamado GraphicalProton.
También siguen al descubrimiento de varios nuevos vectores de ataque de Azure AD (AAD) Connect que podrían permitir a los actores cibernéticos maliciosos crear una puerta trasera indetectable robando hashes criptográficos de contraseñas inyectando código malicioso en un proceso de sincronización de hash e interceptando credenciales mediante un ataque de adversario en el medio (AitM).
