Atacantes comprometen usuarios de la nube para enviar spam masivo: análisis y recomendaciones
Según informes de Microsoft, en este ataque, los actores de amenazas comienzan su operación comprometiendo usuarios específicos del servicio de la nube, ya que estos usuarios deben tener suficientes privilegios para crear aplicaciones en el entorno y otorgarles el consentimiento del administrador. Estos usuarios no estaban utilizando la autenticación de múltiples factores para iniciar sesión en el servicio de la nube.
Para obtener acceso exitoso a estos entornos de la nube, los atacantes utilizaron ataques de relleno de credenciales: intentaron reutilizar credenciales válidas obtenidas de otros servicios o aplicaciones. Estos ataques funcionan cuando las personas utilizan el mismo nombre de usuario y contraseña en muchos servicios o sitios web diferentes. Por ejemplo, un atacante que obtiene credenciales robadas de una cuenta de correo electrónico podría usarlas para acceder a servicios de redes sociales.
VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)
En este caso, los atacantes utilizaron las credenciales para obtener acceso al servicio de la nube. Una sola dirección IP ejecutó la operación de relleno de credenciales, apuntando a las aplicaciones de PowerShell de Azure Active Directory para la autenticación. Los investigadores de Microsoft creen que los atacantes utilizaron un volcado de credenciales comprometidas.
¿Cómo funciona la aplicación maliciosa?
Una vez que los actores de amenazas obtienen las credenciales válidas de usuarios privilegiados, utilizan un script de PowerShell para realizar acciones en el Directorio Activo de Azure de todos los inquilinos comprometidos.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelLa primera acción es registrar una nueva aplicación de un solo inquilino utilizando una convención de nomenclatura específica: un nombre de dominio seguido de un guión bajo y luego tres caracteres alfabéticos aleatorios. Luego se agrega el permiso heredado Exchange.ManageAsApp para la autenticación solo de la aplicación del módulo PowerShell de Exchange Online.
También se otorga el consentimiento del administrador. A continuación, se le otorgan derechos de administrador global y derechos de administrador de Exchange Online a la aplicación previamente registrada.
El último paso consiste en agregar las credenciales de la aplicación. De esta manera, los atacantes pueden agregar sus propias credenciales a la aplicación de OAuth.
Una vez completados todos estos pasos, los atacantes pueden acceder fácilmente a la aplicación maliciosa, incluso en caso de un cambio de contraseña desde la cuenta de administrador comprometida.
¿Por qué desplegaron la aplicación?
El propósito de desplegar la aplicación maliciosa era realizar envíos masivos de correo no deseado. Para lograr ese objetivo, el actor de amenazas modificó la configuración de Exchange Online a través de la aplicación maliciosa privilegiada, lo que les permitió autenticar el módulo PowerShell de Exchange Online.
Los atacantes crearon un nuevo conector de Exchange, que son instrucciones para personalizar la forma en que fluye el correo electrónico hacia y desde las organizaciones que utilizan Microsoft 365 u Office 365. El nuevo conector de entrada se denominaba nuevamente usando una convención de nomenclatura específica, esta vez utilizando la cadena "Ran_" seguida de cinco caracteres alfabéticos. El propósito de este conector era permitir el flujo de correos electrónicos desde ciertas direcciones IP de la infraestructura de los atacantes a través del servicio comprometido de Exchange Online.
Cómo proteger tu computadora de los virus: métodos y consejosAdemás, se crearon doce nuevas reglas de transporte por parte del actor de amenazas, denominadas de Test01 a Test012. El propósito de estas reglas era eliminar encabezados específicos de todos los correos electrónicos que circulan:
- X-MS-Exchange-ExternalOriginalInternetSender
- X-MS-Exchange-SkipListedInternetSender
- Received-SPF
- Received
- ARC-Authentication-Results
- ARC-Message-Signature
- DKIM-Signature
- ARC-Seal
- X-MS-Exchange-SenderADCheck
- X-MS-Exchange-Authentication-Results
- Authentication-Results
- X-MS-Exchange-AntiSpam-MessageData-ChunkCount
La eliminación de estos encabezados permitió a los atacantes evadir la detección de productos de seguridad y evitar que los proveedores de correo electrónico bloqueen sus correos electrónicos, aumentando así el éxito de la operación.
Una vez configurado el conector y las reglas de transporte, el actor podía comenzar a enviar volúmenes masivos de correos electrónicos no deseados.
¿Qué tan experimentado era el actor de amenazas?
Los investigadores mencionan que "el actor detrás de este ataque ha estado ejecutando activamente campañas de correo no deseado durante muchos años". Según su investigación, Microsoft estableció que el mismo actor ha enviado grandes volúmenes de correos electrónicos no deseados en un corto período de tiempo al conectarse a servidores de correo electrónico desde direcciones IP falsas o enviar spam desde infraestructura de envío de correo masivo basada en la nube legítima.
Los investigadores de Microsoft indican que el actor de amenazas también eliminaba el conector malicioso y las reglas de transporte asociadas después de una campaña de envío de spam. Luego, lo volvía a crear para una nueva oleada de spam, a veces meses después de la inicial.
El actor de amenazas iniciaba la campaña de spam desde infraestructuras de correo electrónico de salida basadas en la nube fuera de Microsoft, principalmente Amazon SES y Mail Chimp, según Microsoft. Estas plataformas permiten enviar correo masivo, generalmente con fines de marketing legítimos. Este modus operandi solo puede provenir de un actor experimentado en el envío de correo no deseado.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas¿Qué envió el actor de amenazas en el spam?
El spam enviado por esta campaña contenía dos imágenes visibles en el cuerpo del correo electrónico, así como contenido dinámico y aleatorio inyectado dentro del cuerpo HTML del mensaje de correo electrónico, para evitar ser detectado como spam, que es una técnica común utilizada por este actor de amenazas.
Las imágenes incitan al usuario a hacer clic en un enlace porque supuestamente son elegibles para un premio. Al hacer clic, el usuario es redirigido a un sitio web operado por los atacantes, donde se le solicita que proporcione detalles para una encuesta e información de tarjeta de crédito para pagar el envío del premio.
Un texto pequeño en la parte inferior de la página web revela que el usuario no está pagando una tarifa de envío, sino varios servicios de suscripción pagados para participar en la lotería del premio.
¿Cómo proteger su organización contra esta amenaza?
Este ataque habría fracasado si los inquilinos de la nube inicial estuvieran protegidos por MFA (autenticación de múltiples factores). Se recomienda encarecidamente implementar siempre MFA para cualquier servicio o sitio web expuesto a Internet.
También se pueden establecer políticas de acceso condicional para habilitar el cumplimiento del dispositivo o los requisitos de dirección IP confiable para iniciar sesión.
Una vigilancia cuidadosa de todos los accesos también puede ayudar a detectar tales compromisos. Las direcciones IP inusuales que se conecten a un servicio deben ser consideradas sospechosas y generar una alerta.
Protege tus contraseñas con PAM: Tu aliado para la seguridadMicrosoft también recomienda habilitar las opciones de seguridad predeterminadas en Azure AD, ya que ayuda a proteger la plataforma de identidad organizativa al proporcionar configuraciones de seguridad preconfiguradas, como MFA, protección para cuentas privilegiadas y más.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Atacantes comprometen usuarios de la nube para enviar spam masivo: análisis y recomendaciones , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados