Microsoft alerta sobre el aumento de la actividad maliciosa de un grupo de amenazas emergentes conocido como Storm-0539, que ha intensificado sus tácticas para llevar a cabo fraudes y robos de tarjetas de regalo durante la temporada de compras navideñas.
Este grupo emplea ataques de phishing altamente sofisticados a través de correo electrónico y SMS, dirigidos principalmente a entidades minoristas.
El modus operandi de los ataques implica la propagación de enlaces trampa diseñados para dirigir a las víctimas hacia páginas de phishing de adversarios en el medio (AiTM). Estas páginas son capaces de recopilar credenciales y tokens de sesión de los usuarios afectados.
Microsoft señala que, una vez que Storm-0539 obtiene acceso a una sesión inicial y un token, procede a registrar su propio dispositivo para solicitudes de autenticación secundaria posteriores. Este enfoque le permite eludir las protecciones de autenticación multifactor (MFA) y persistir en el entorno utilizando la identidad totalmente comprometida. La advertencia fue comunicada por el gigante tecnológico a través de una serie de publicaciones en X (anteriormente Twitter).
Utilizando este punto de apoyo adquirido, Storm-0539 también funciona como un conducto para elevar los privilegios, desplazarse lateralmente a través de la red y acceder a recursos en la nube con el objetivo de obtener información confidencial. Este grupo en particular busca específicamente servicios vinculados a tarjetas de regalo para facilitar sus actividades fraudulentas.
Adicionalmente, Storm-0539 recopila correos electrónicos, listas de contactos y configuraciones de red, preparándose así para futuros ataques dirigidos contra las mismas organizaciones. Este enfoque destaca la importancia de implementar prácticas sólidas de higiene de credenciales.
- Microsoft advirtió sobre un actor de amenazas al que llamó Storm-0539 que lanzaba ataques a organizaciones minoristas antes de las vacaciones. Los investigadores han observado un “aumento” en la actividad del grupo, afirmó la empresa.
- El gigante tecnológico destacó previamente a los piratas informáticos en noviembre, llamándolos un “grupo con motivación financiera” que ha estado activo desde finales de 2021. gang tiene predilección por apuntar a organizaciones minoristas para cometer fraude y robo de tarjetas de regalo y “lleva a cabo un reconocimiento exhaustivo de las organizaciones objetivo para crear señuelos de phishing convincentes y robar credenciales y tokens de usuario para el acceso inicial”.
- “El actor conoce bien los proveedores de nube y aprovecha los recursos de los servicios de nube de la organización objetivo para actividades posteriores al compromiso”, dijeron.
- A medida que la temporada navideña comienza a toda marcha, Microsoft dijo que el grupo estaba intensificando sus ataques a tarjetas de regalo mediante el uso de “phishing por correo electrónico y SMS altamente sofisticado durante la temporada de compras navideñas”.
- La pandilla utiliza páginas de inicio de sesión falsas para robar credenciales y utiliza ese acceso ilícito para ganar mayor persistencia en el sistema de la víctima.
- “Con cada compromiso exitoso, Storm-0539 aumenta los privilegios, se mueve lateralmente y accede a los recursos de la nube para recopilar información específica. Storm-0539 enumera recursos internos e identifica servicios relacionados con tarjetas de regalo que pueden usarse para fraude con tarjetas de regalo”, dijeron los investigadores de la compañía el jueves.
- “Además del fraude con tarjetas de regalo, Storm-0539 recopila información adicional, incluidos correos electrónicos, listas de contactos y configuraciones de red para futuros ataques contra la misma organización”.
- Los Grupos a los que Microsoft les asigna la palabra “Tormenta” tienden a representar un “grupo de actividad de amenazas recién descubierto, desconocido, emergente o en desarrollo
En su informe mensual publicado el mes pasado, Microsoft 365 Defender describió a Storm-0539 como un grupo con motivación financiera que ha estado operando activamente desde al menos 2021. El informe destaca que este actor realiza un exhaustivo reconocimiento de las organizaciones objetivo para crear señuelos de phishing convincentes, robando credenciales y tokens de usuario para lograr acceso inicial.
“Storm-0539 realiza un reconocimiento minucioso de las organizaciones objetivo con el objetivo de crear señuelos de phishing persuasivos y obtener credenciales y tokens de usuario para el acceso inicial”, según afirmaba el informe. “Este actor tiene un conocimiento profundo de los proveedores de servicios en la nube y aprovecha los recursos de los servicios en la nube de la organización objetivo para llevar a cabo actividades después del compromiso”.
Uso indebido de OAuth
Microsoft advirtió que los piratas informáticos están abusando de una popular herramienta de autenticación y costando a las organizaciones millones de dólares con sus acciones.
El blog se centró en OAuth, un estándar que permite a las aplicaciones acceder a datos y recursos en función de los permisos establecidos por un usuario.
Los piratas informáticos han podido “comprometer cuentas de usuarios para crear, modificar y otorgar altos privilegios a aplicaciones OAuth que pueden utilizar indebidamente para ocultar actividad maliciosa”.
Microsoft dijo que vio a un hacker al que rastrea como Storm-1283 usar una cuenta comprometida para crear una aplicación OAuth que les permitió implementar herramientas de criptominería.
“Las organizaciones objetivo incurrieron en tarifas informáticas que oscilaban entre 10.000 y 1,5 millones de dólares por los ataques, dependiendo de la actividad del actor y la duración del ataque”, dijo Microsoft.
“Storm-1283 buscó mantener la configuración el mayor tiempo posible para aumentar las posibilidades de una actividad criptominera exitosa”.
El abuso de OAuth permite a los piratas informáticos mantener su acceso a las aplicaciones “incluso si pierden el acceso a la cuenta inicialmente comprometida”.
En varios ataques rastreados por Microsoft, los actores de amenazas utilizaron ataques de phishing o rociado de contraseñas para comprometer una cuenta de usuario y elevar sus privilegios para “implementar máquinas virtuales (VM) para la minería de criptomonedas, establecer persistencia después de un compromiso de correo electrónico empresarial (BEC) y lanzar actividades de spam utilizando los recursos y el nombre de dominio de la organización objetivo”.
Puntos a tomar en cuenta:
Ante la creciente amenaza identificada por Microsoft relacionada con el grupo de amenazas emergentes Storm-0539, es crucial que las organizaciones tomen medidas proactivas para fortalecer su seguridad. Aquí hay algunas recomendaciones:
- Concientización y Entrenamiento del Personal:
- Proporcionar formación regular a los empleados sobre prácticas seguras de navegación, identificación de correos electrónicos y mensajes de phishing, y concienciación sobre las tácticas utilizadas por los atacantes.
- Implementación de Protecciones Antiphishing:
- Utilizar soluciones de seguridad avanzadas que detecten y bloqueen ataques de phishing, tanto en correos electrónicos como en mensajes de texto (SMS).
- Refuerzo de Autenticación Multifactor (MFA):
- Fortalecer la autenticación mediante la implementación de MFA en todas las cuentas de usuario para reducir el riesgo de compromisos, ya que Storm-0539 ha demostrado habilidades para eludir las protecciones MFA.
- Monitoreo de Actividad Inusual:
- Implementar sistemas de monitoreo de seguridad que puedan detectar actividad inusual en la red, especialmente en lo que respecta a intentos de acceso no autorizado y movimientos laterales.
- Actualizaciones y Parches:
- Mantener todos los sistemas y software actualizados con los últimos parches de seguridad para mitigar vulnerabilidades conocidas.
- Auditoría y Restricciones de Acceso:
- Realizar auditorías periódicas de acceso y revisar y restringir los privilegios de usuario para limitar el alcance de posibles compromisos.
- Respuesta Rápida y Planeación de Incidentes:
- Desarrollar y practicar planes de respuesta a incidentes para garantizar una respuesta rápida y efectiva en caso de una violación de seguridad.
- Higiene de Credenciales:
- Reforzar la importancia de prácticas sólidas de higiene de credenciales, incluida la gestión segura de contraseñas y la implementación de políticas de contraseña robustas.
- Análisis de Tráfico en la Nube:
- Monitorear y analizar el tráfico en la nube para detectar y prevenir actividades maliciosas, especialmente aquellas relacionadas con servicios en la nube que puedan ser explotados por el grupo Storm-0539.
- Revisión y Actualización de Políticas de Seguridad:
- Revisar y actualizar las políticas de seguridad de la organización para abordar específicamente las amenazas emergentes, como el modus operandi de Storm-0539, y adaptar las defensas en consecuencia.
Además, ten en cuenta que el abuso de OAuth, como el visto con Storm-1283, resalta la importancia de monitorear y limitar los permisos concedidos a las aplicaciones, así como educar a los usuarios sobre la importancia de autorizar solo aplicaciones confiables.
fuente: thehackernews