Microsoft advierte sobre la campaña de phishing de varias etapas que aprovecha Azure AD

Los analistas de amenazas de Microsoft han descubierto una campaña de phishing multifase a gran escala que utiliza credenciales robadas para registrar dispositivos en la red del objetivo y utilizarlos para distribuir correos electrónicos de phishing.

Como destaca el informe, los ataques solo se manifestaron a través de cuentas que carecían de la protección Multi-Factor Authentication (MFA), lo que las hizo más fáciles de secuestrar.

El actor de amenazas implementó los ataques en dos fases, la primera diseñada para robar las credenciales de correo electrónico del destinatario, atrayéndolos con correos electrónicos con el tema de DocuSign solicitando un documento para ser revisado y firmado.

DocuSign señuelo enviado en la primera ola de ataque
DocuSign señuelo enviado en la primera ola de ataque
Fuente: Microsoft

Los enlaces integrados llevan a la víctima a una URL de phishing que imita la página de inicio de sesión de Office 365 y rellena previamente el nombre de usuario de la víctima para mayor credibilidad.

Un filtro de spam que no era

Los datos de telemetría de Microsoft indican que la primera fase de los ataques se centró principalmente en empresas con sede en Australia, Singapur, Indonesia y Tailandia.

Los actores intentaron comprometer a los trabajadores remotos, los puntos de servicio administrados mal asegurados y otra infraestructura que podría operar fuera de las estrictas políticas de seguridad.

Los analistas de Microsoft pudieron identificar la amenaza al detectar la creación anómala de reglas de la bandeja de entrada, que los actores agregaron inmediatamente después de obtener el control de una bandeja de entrada para evitar cualquier mensaje de notificación de TI que pudiera generar sospechas.

"Aprovechando la conexión remota de PowerShell, el atacante implementó una regla de la bandeja de entrada a través del cmdlet New-InboxRule que eliminó ciertos mensajes en función de las palabras clave en el asunto o el cuerpo del correo electrónico", explican los detalles del informe.

"La regla de la bandeja de entrada permitió a los atacantes evitar despertar las sospechas de los usuarios comprometidos al eliminar los NDR y los correos electrónicos de notificación de TI que pueden haber sido enviados al usuario comprometido".

La investigación que siguió reveló que más de cien buzones de correo en varias organizaciones se habían visto comprometidos con reglas de buzón de correo maliciosas llamadas "filtro de correo no deseado".

Registro de Azure AD

Con las credenciales en la mano, los atacantes instalaron Outlook en su computadora (Windows 10) e iniciaron sesión en la cuenta de correo electrónico del usuario. Esta acción provocó que el dispositivo del atacante se conectara automáticamente a la empresa Azure Active Directory y lo registrara.

Esto probablemente se debió a que aceptó la primera experiencia de inicio de Outlook al registrarse con credenciales robadas, señala Microsoft, y agregó que una política de MFA en Azure AD no permitiría la inscripción no autorizada.

Una vez que el dispositivo del atacante se agregó a la red de la organización, el atacante pasó a la segunda etapa, enviando correos electrónicos a los empleados de la empresa objetivo y a objetivos externos como contratistas, proveedores o socios.

Cadena de ataques de phishing
Cadena de ataques de phishing
Fuente: Microsoft

Dado que estos mensajes provienen de un espacio de trabajo confiable, no están marcados con soluciones de seguridad y tienen un elemento inherente de legitimidad que aumenta las posibilidades de éxito de los actores.

Al registrar dispositivos no autorizados, el actor de amenazas probablemente esperaba aplicar políticas que facilitarían el phishing paralelo.

Azure AD activa una marca de tiempo de actividad cuando un dispositivo intenta autenticarse, una segunda oportunidad para que los defensores descubran registros sospechosos.

Evento de registro sospechoso
Evento de registro sospechoso
Fuente: Microsoft

Si el registro pasa desapercibido, los actores pueden enviar mensajes desde una parte reconocida y confiable del dominio utilizando credenciales válidas robadas de Outlook.

La segunda ola de mensajes de phishing fue mucho más grande que la primera, con más de 8500 correos electrónicos con el tema de SharePoint con un archivo adjunto "Payment.pdf".

Esta campaña de phishing ha sido astuta y moderadamente exitosa, pero no sería tan efectiva si las empresas objetivo siguieran una de estas prácticas:

  • Todos los empleados habían habilitado la autenticación multifactor en sus cuentas de Office 365.
  • Implemente soluciones de protección de puntos finales que puedan detectar la creación de reglas de bandeja de entrada.
  • El registro de dispositivos de Azure AD se supervisa de cerca.
  • Registrarse en Azure AD requiere autenticación multifactor.
  • Las políticas de confianza cero se emplean en todas las partes de la red de la organización.

Actualizar [January 27, 13:43 EST]: Se cambiaron algunos párrafos para aclarar aspectos de la campaña y cómo pasó de una fase a otra.

Descubre más contenido

Subir Change privacy settings