Microsoft alerta sobre ataques AitM y BEC a empresas energéticas
Publicado el
Microsoft advierte sobre una nueva amenaza en el sector energético
Microsoft ha emitido una advertencia sobre una compleja campaña de phishing conocido como adversario-en-el-medio (AitM) y ataques de compromiso de correo electrónico empresarial (BEC) que están dirigiéndose a diversas organizaciones en el sector energético.
El equipo de investigación de Microsoft Defender ha indicado que la campaña utiliza servicios de SharePoint para distribuir cargas útiles de phishing y crea reglas de bandeja de entrada para mantener la persistencia y evadir la detección de los usuarios. Esta serie de ataques ha evolucionado hacia múltiples actividades de AitM y BEC, afectando a varias entidades.
Los atacantes, aún no identificados, han sido observados utilizando identidades internas de las víctimas para llevar a cabo un phishing a gran escala tanto dentro como fuera de la organización. El ataque comienza con un correo electrónico de phishing, que probablemente proviene de una dirección de una organización de confianza previamente comprometida. Usando este canal legítimo, los actores de amenazas envían mensajes que simulan flujos de trabajo de documentos de SharePoint para engañar a los destinatarios y hacer que hagan clic en enlaces de phishing.
Dado que servicios como SharePoint y OneDrive son de uso común en entornos empresariales, los correos electrónicos, al parecer legítimos, no levantan sospechas. Esto permite a los atacantes entregar enlaces de phishing o preparar cargas útiles maliciosas. Esta técnica, conocida como vivir de sitios de confianza (LOTS), se basa en la familiaridad y la ubiquidad de estas plataformas para eludir los mecanismos de detección centrados en el correo electrónico.
El enlace de phishing redirige a los usuarios a un falso formulario de credenciales para ver el documento supuestamente compartido. Una vez que los atacantes obtienen acceso mediante las credenciales robadas y la cookie de sesión, crean reglas en la bandeja de entrada para eliminar todos los correos entrantes y marcar como leídos los mensajes. Con esta base establecida, la bandeja de entrada comprometida se utiliza para enviar mensajes de phishing a contactos de la víctima, tanto internos como externos.
En un caso documentado por Microsoft, el atacante lanzó una campaña masiva de phishing que involucró más de 600 correos enviados a los contactos del usuario comprometido. Los actores de amenazas también han tomado medidas para eliminar correos no entregados y correos automáticos de fuera de oficina, asegurando a los destinatarios la autenticidad del correo si estos expresan dudas. Posteriormente, la correspondencia se elimina de la bandeja de entrada.
Microsoft aclara que estas técnicas son comunes en ataques BEC y están diseñadas para mantener a la víctima inconsciente de las operaciones del atacante, facilitando así la persistencia del ataque. La empresa también subraya que este tipo de ataque revela la complejidad operativa del AitM, destacando que un simple restablecimiento de contraseñas no es suficiente para mitigar la amenaza. Las organizaciones afectadas deben asegurarse de haber revocado las cookies de sesión activas y eliminado las reglas de bandeja de entrada creadas por los atacantes.
Para ello, Microsoft ha colaborado con sus clientes para revocar los cambios de autenticación multifactor (MFA) realizados por los atacantes en las cuentas comprometidas y eliminar las reglas sospechosas creadas en esas cuentas. Actualmente, no se conoce el número exacto de organizaciones comprometidas ni si se trata de un grupo de cibercriminales conocido.
Se aconseja a las organizaciones trabajar con su proveedor de identidad para garantizar que se implementen controles de seguridad como MFA resistente al phishing, habilitar políticas de acceso condicional, llevar a cabo evaluaciones continuas de acceso y utilizar soluciones anti-phishing que monitoricen y analicen los correos entrantes y los sitios web visitados. Este ataque pone de manifiesto la tendencia entre los actores de amenazas de abusar de servicios confiables como Google Drive, Amazon Web Services (AWS) y Atlassian's Confluence para redirigir a sitios de robo de credenciales y desplegar malware. Esto elimina la necesidad de que los atacantes construyan su propia infraestructura, a la vez que hace que la actividad maliciosa parezca legítima.
Por su parte, el proveedor de servicios de identidad Okta ha detectado kits de phishing personalizados diseñados específicamente para campañas de vishing (phishing por voz) que apuntan a Google, Microsoft, Okta y una amplia gama de plataformas de criptomonedas. En estas campañas, los atacantes, haciéndose pasar por personal de soporte técnico, contactan a las víctimas utilizando un número de teléfono falso.
El objetivo de estos ataques es engañar a los usuarios para que visiten un enlace malicioso y entreguen sus credenciales, que posteriormente son transmitidas a los atacantes en tiempo real a través de un canal de Telegram, lo que les otorga acceso no autorizado a sus cuentas. Las técnicas de ingeniería social están bien planificadas, con los atacantes realizando una investigación sobre los objetivos y creando páginas de phishing personalizadas. Los kits, que se venden como servicio, incluyen scripts del lado del cliente que permiten a los actores de amenazas controlar el flujo de autenticación en el navegador del usuario objetivo en tiempo real, mientras proporcionan instrucciones verbales que convencen a la víctima para que realice acciones que faciliten la evasión de la MFA.
A medida que la amenaza del phishing continúa evolucionando, se hace imperativo que las organizaciones adopten medidas proactivas y refuercen sus defensas contra estos sofisticados ataques.