Los hackers rusos explotan los servicios de Azure para hackear cuentas de Microsoft 365

Los investigadores de la firma de ciberseguridad Mandiant han descubierto que el grupo de hackers respaldado por el estado ruso APT29, también conocido como Cozy Bear o Nobelium, está atacando activamente cuentas de Microsoft 365 en EE. UU. y organizaciones afiliadas a la OTAN en campañas de espionaje para robar datos sensibles.

Mandiant, que ha estado rastreando a APT29 desde al menos 2014, señaló que el grupo de espionaje ruso está “utilizando nuevas tácticas y atacando agresivamente Microsoft 365 en ataques que demuestran una excepcional seguridad operativa y evasión”.

La compañía destacó algunos de los nuevos TTP avanzados (tácticas, técnicas y procedimientos) de APT29 en un informe publicado el jueves.

Para un actor de amenazas, una de las características de seguridad de registro más problemáticas es Purview Audit, una característica de seguridad de mayor grado en la suite de Microsoft 365. Esta característica, disponible con licencias E5 y ciertos complementos, habilita la auditoría de Acceso a Elementos de Correo. Acceso a Elementos de Correo registra la cadena de agente de usuario, la marca de tiempo, la dirección IP y el usuario cada vez que se accede a un elemento de correo independientemente del programa (Outlook, navegador, Graph API).

Mandiant observó que APT29 pudo deshabilitar Purview Audit en cuentas objetivo en un inquilino comprometido para dirigirse a la bandeja de entrada para la recolección de correos electrónicos.

“Una vez deshabilitado, comienzan a dirigirse a la bandeja de entrada para la recolección de correos electrónicos. En este punto, no hay registros disponibles para la organización que confirmen qué cuentas el actor de amenazas apuntó para la recolección de correos electrónicos y cuándo. Dada la orientación y los TTP de APT29, Mandiant cree que la recolección de correos electrónicos es la actividad más probable tras la desactivación de Purview Audit”, dice el informe publicado por Mandiant.

“Hemos actualizado nuestro documento técnico Estrategias de remediación y endurecimiento para Microsoft 365 para incluir más detalles sobre esta técnica, así como consejos de detección y remediación. Además, hemos actualizado el Investigador de Azure AD con un nuevo módulo para informar sobre usuarios con auditoría avanzada deshabilitada.”

Los investigadores también descubrieron otra táctica avanzada nueva empleada por APT29, que aprovecha el proceso de autoinscripción para la autenticación multifactor (MFA) en Azure Active Directory (AD).

Este método abusa de la ausencia de una aplicación estricta en las nuevas inscripciones de MFA en la configuración predeterminada de Azure AD, lo que significa que cualquier persona con conocimiento del nombre de usuario y la contraseña puede acceder a la cuenta desde cualquier ubicación y cualquier dispositivo para inscribirse en MFA, siempre que sean la primera persona en hacerlo.

“En un caso, APT29 llevó a cabo un ataque de adivinanza de contraseñas contra una lista de buzones que habían obtenido por medios desconocidos. El actor de amenazas adivinó con éxito la contraseña de una cuenta que había sido configurada, pero nunca utilizada. Debido a que la cuenta estaba inactiva, Azure AD le pidió a APT29 que se inscribiera en MFA. Una vez inscrito, APT29 pudo usar la cuenta para acceder a la infraestructura VPN de la organización que estaba utilizando Azure AD para autenticación y MFA”, continúa el informe.

Por último, Mandiant ha observado a APT29 utilizando Máquinas Virtuales (VMs) de Azure. Las máquinas virtuales utilizadas por APT29 existen en suscripciones de Azure fuera de la organización víctima. No está claro si el grupo de actores de amenazas ha comprometido o comprado estas suscripciones.

El grupo también ha sido observado mezclando acciones administrativas benignas con sus acciones maliciosas para confundir a cualquiera que pudiera estar en su trayectoria.

“Por ejemplo, en una investigación reciente, APT29 obtuvo acceso a una cuenta de administrador global en Azure AD. Usaron la cuenta para crear una puerta trasera en un principal de servicio con derechos de ApplicationImpersonation y comenzar a recolectar correos electrónicos de buzones objetivo en el inquilino”, agregó el informe.

Una vez añadido, APT29 pudo autenticarse en Azure AD como el Principal de Servicio y usar sus roles para recolectar correos electrónicos. Para mezclarse, APT29 creó el certificado con un Nombre Común (CN) que coincidía con el nombre de visualización del principal de servicio con puerta trasera y agregó una nueva URL de Dirección de Aplicación a él.

“APT29 continúa desarrollando su técnica y dedicación a una estricta seguridad operativa. Mandiant espera que APT29 se mantenga al día con el desarrollo de técnicas y tácticas para acceder a Microsoft 365 de maneras novedosas y sigilosas”, concluye el informe.