Una campaña de pirateo afecta a cientos de cuentas de Microsoft Azure

Investigadores de Proofpoint descubrieron recientemente una campaña de apropiación indebida de cuentas en la nube que afecta a entornos y usuarios de Microsoft Azure, incluidos altos ejecutivos. Detectada a finales de noviembre de 2023, la amenaza sigue activa en febrero de 2024.

Según Proofpoint, la campaña consiste en técnicas de phishing y control de cuentas en la nube, utilizando señuelos individualizados en documentos compartidos. Por ejemplo, algunos documentos incluyen enlaces “Ver documento” que, al hacer clic, redirigen a los usuarios a una página de phishing.

Al parecer, el perfil de las víctimas es muy variado, con diferentes cargos en sus empresas, abarcando cientos de usuarios con funciones de directores de ventas, gestores de cuentas y financieros e incluso vicepresidentes de operaciones, presidentes y directores generales.

Proofpoint advierte de que el éxito de los accesos iniciales de esta campaña puede generar una cascada de actividades no autorizadas. Por ejemplo, los analistas han identificado atacantes que trabajan con diferentes métodos de autenticación, como el registro de números de teléfono alternativos para la autenticación a través de SMS o llamada telefónica. Sin embargo, en la mayoría de los casos de manipulación de MFA, el método preferido era añadir una app autenticadora con notificación y código.

En esta campaña, los atacantes también pueden acceder y descargar archivos confidenciales, como listas de activos financieros, protocolos de seguridad internos y credenciales de usuario. También pueden irrumpir en buzones de correo, realizar movimientos laterales en las redes afectadas y explotar cuentas de usuario específicas para realizar amenazas mediante phishing personalizado. Pueden crear reglas de ofuscación para cubrir sus huellas y borrar las pruebas de actividad maliciosa de los buzones de correo de las víctimas. También pueden realizar fraudes financieros enviando mensajes de correo electrónico internos a los departamentos de Recursos Humanos y Finanzas de las organizaciones afectadas.

El análisis del ataque realizado por Proofpoint reveló varios proxies, servicios de alojamiento de datos y dominios secuestrados que componían la infraestructura operativa de la campaña. Se observó que los atacantes empleaban servicios proxy para alinear el origen geográfico aparente de las actividades no autorizadas con el de las víctimas potenciales, evitando las políticas de demarcación regional. Además, el uso de servicios proxy se alterna con frecuencia para enmascarar su verdadera ubicación e imponer una dificultad adicional a la hora de bloquear la actividad maliciosa.

Además de utilizar servicios proxy, los atacantes utilizan determinados ISP locales de línea fija que podrían exponer su ubicación geográfica. Algunas de estas fuentes no proxy se encuentran en Rusia y Nigeria.

Tirón de orejas

A mediados de 2023, el senador estadounidense Ron Wyden envió una carta a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), al Departamento de Justicia y a la Comisión Federal de Comercio (FTC) pidiendo que Microsoft rindiera cuentas por sus negligentes prácticas de ciberseguridad que han permitido actos de espionaje de China contra el gobierno estadounidense.

En el ámbito privado, Tenable, una empresa que ofrece soluciones de gestión de la ciberexposición, también estaba investigando ya posibles accesos no autorizados a la plataforma Microsoft Azure y servicios relacionados. En una señal de que se trataba de un fallo crítico, el equipo de Tenable descubrió rápidamente los secretos de autenticación de un banco y notificó inmediatamente a Microsoft.

En contra de lo esperado, Microsoft tardó más de 90 días en aplicar una solución parcial a un problema que podría provocar una brecha en las redes y servicios de varios clientes. Según Tenable, Microsoft dijo entonces que resolvería el problema a finales de septiembre de 2023. Sin embargo, con el incidente de la campaña actual identificado por Proofpoint, podemos imaginar que la vulnerabilidad aún no se ha eliminado por completo.

Nuevo ejecutivo

En medio de este incidente, Ahmed Shihab, vicepresidente de hardware de infraestructura en Amazon Web Services (AWS), emigró a la rival Microsoft para trabajar en los servicios de almacenamiento Azure como vicepresidente del área. En respuesta al contacto de CRN, Microsoft confirmó la contratación de Shihab, pero no dio detalles sobre su nuevo papel y responsabilidades. La contratación se produce además en un momento en el que Amazon atraviesa una oleada de despidos en puestos ejecutivos de la división AWS, parte de una medida iniciada en abril de 2023 para reducir costes. Se prevé que otros 9.000 empleados de diversas unidades de negocio, incluida AWS, se vean afectados.