Investigadores de Proofpoint descubrieron recientemente una campa\u00f1a de apropiaci\u00f3n indebida de cuentas en la nube que afecta a entornos y usuarios de Microsoft Azure, incluidos altos ejecutivos. Detectada a finales de noviembre de 2023, la amenaza sigue activa en febrero de 2024.<\/p>\n\n
Seg\u00fan Proofpoint, la campa\u00f1a consiste en t\u00e9cnicas de phishing y control de cuentas en la nube, utilizando se\u00f1uelos individualizados en documentos compartidos. Por ejemplo, algunos documentos incluyen enlaces \u00abVer documento\u00bb que, al hacer clic, redirigen a los usuarios a una p\u00e1gina de phishing.<\/p>\n\n
Al parecer, el perfil de las v\u00edctimas es muy variado, con diferentes cargos en sus empresas, abarcando cientos de usuarios con funciones de directores de ventas, gestores de cuentas y financieros e incluso vicepresidentes de operaciones, presidentes y directores generales.<\/p>\n\n
Proofpoint advierte de que el \u00e9xito de los accesos iniciales de esta campa\u00f1a puede generar una cascada de actividades no autorizadas. Por ejemplo, los analistas han identificado atacantes que trabajan con diferentes m\u00e9todos de autenticaci\u00f3n, como el registro de n\u00fameros de tel\u00e9fono alternativos para la autenticaci\u00f3n a trav\u00e9s de SMS o llamada telef\u00f3nica. Sin embargo, en la mayor\u00eda de los casos de manipulaci\u00f3n de MFA, el m\u00e9todo preferido era a\u00f1adir una app autenticadora con notificaci\u00f3n y c\u00f3digo.<\/p>\n\n
En esta campa\u00f1a, los atacantes tambi\u00e9n pueden acceder y descargar archivos confidenciales, como listas de activos financieros, protocolos de seguridad internos y credenciales de usuario. Tambi\u00e9n pueden irrumpir en buzones de correo, realizar movimientos laterales en las redes afectadas y explotar cuentas de usuario espec\u00edficas para realizar amenazas mediante phishing personalizado. Pueden crear reglas de ofuscaci\u00f3n para cubrir sus huellas y borrar las pruebas de actividad maliciosa de los buzones de correo de las v\u00edctimas. Tambi\u00e9n pueden realizar fraudes financieros enviando mensajes de correo electr\u00f3nico internos a los departamentos de Recursos Humanos y Finanzas de las organizaciones afectadas.<\/p>\n\n
El an\u00e1lisis del ataque realizado por Proofpoint revel\u00f3 varios proxies, servicios de alojamiento de datos y dominios secuestrados que compon\u00edan la infraestructura operativa de la campa\u00f1a. Se observ\u00f3 que los atacantes empleaban servicios proxy para alinear el origen geogr\u00e1fico aparente de las actividades no autorizadas con el de las v\u00edctimas potenciales, evitando las pol\u00edticas de demarcaci\u00f3n regional. Adem\u00e1s, el uso de servicios proxy se alterna con frecuencia para enmascarar su verdadera ubicaci\u00f3n e imponer una dificultad adicional a la hora de bloquear la actividad maliciosa.<\/p>\n\n
Adem\u00e1s de utilizar servicios proxy, los atacantes utilizan determinados ISP locales de l\u00ednea fija que podr\u00edan exponer su ubicaci\u00f3n geogr\u00e1fica. Algunas de estas fuentes no proxy se encuentran en Rusia y Nigeria.<\/p>\n\n
A mediados de 2023, el senador estadounidense Ron Wyden envi\u00f3 una carta<\/a>\u00a0a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), al Departamento de Justicia y a la Comisi\u00f3n Federal de Comercio (FTC) pidiendo que Microsoft rindiera cuentas por sus negligentes pr\u00e1cticas de ciberseguridad que han permitido actos de espionaje de China contra el gobierno estadounidense.<\/p>\n\n En el \u00e1mbito privado, Tenable<\/a>, una empresa que ofrece soluciones de gesti\u00f3n de la ciberexposici\u00f3n, tambi\u00e9n estaba investigando ya posibles accesos no autorizados a la plataforma Microsoft Azure y servicios relacionados. En una se\u00f1al de que se trataba de un fallo cr\u00edtico, el equipo de Tenable descubri\u00f3 r\u00e1pidamente los secretos de autenticaci\u00f3n de un banco y notific\u00f3 inmediatamente a Microsoft.<\/p>\n\n En contra de lo esperado, Microsoft tard\u00f3 m\u00e1s de 90 d\u00edas en aplicar una soluci\u00f3n parcial a un problema que podr\u00eda provocar una brecha en las redes y servicios de varios clientes. Seg\u00fan Tenable, Microsoft dijo entonces que resolver\u00eda el problema a finales de septiembre de 2023. Sin embargo, con el incidente de la campa\u00f1a actual identificado por Proofpoint, podemos imaginar que la vulnerabilidad a\u00fan no se ha eliminado por completo.<\/p>\n\n En medio de este incidente, Ahmed Shihab<\/a>, vicepresidente de hardware de infraestructura en Amazon Web Services (AWS), emigr\u00f3 a la rival Microsoft para trabajar en los servicios de almacenamiento Azure como vicepresidente del \u00e1rea. En respuesta al contacto de CRN<\/a>, Microsoft confirm\u00f3 la contrataci\u00f3n de Shihab, pero no dio detalles sobre su nuevo papel y responsabilidades. La contrataci\u00f3n se produce adem\u00e1s en un momento en el que Amazon atraviesa una oleada de despido<\/a>s en puestos ejecutivos de la divisi\u00f3n AWS, parte de una medida iniciada en abril de 2023 para reducir costes. Se prev\u00e9<\/a> que otros 9.000 empleados de diversas unidades de negocio, incluida AWS, se vean afectados.<\/p>\n","protected":false},"excerpt":{"rendered":" Investigadores de Proofpoint descubrieron recientemente una campa\u00f1a de apropiaci\u00f3n indebida de cuentas en la nube que afecta a entornos y usuarios de Microsoft Azure, incluidos altos ejecutivos. Detectada a finales de noviembre de 2023, la amenaza sigue activa en febrero de 2024. Seg\u00fan Proofpoint, la campa\u00f1a consiste en t\u00e9cnicas de phishing y control de cuentas…<\/p>\n","protected":false},"featured_media":15275,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[247,247],"tags":[],"company":[],"topic":[],"class_list":["post-15277","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-monitoreo"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/articles\/15277","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/comments?post=15277"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/media\/15275"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/media?parent=15277"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/category?post=15277"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/tags?post=15277"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/format?post=15277"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/company?post=15277"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/topic?post=15277"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Nuevo ejecutivo<\/h2>\n\n