Microsoft dice que aún no sabe cómo los delincuentes informáticos chinos robaron una clave de firma de consumidor de cuenta Microsoft inactiva (MSA) utilizada para violar las cuentas Exchange Online y Azure AD de dos docenas de organizaciones, incluidas agencias gubernamentales.
"El método por el cual el actor adquirió la clave es un tema de investigación en curso", admitió Microsoft en un nuevo aviso.
El incidente fue informado por funcionarios del gobierno de EE.UU. luego de descubrir un acceso no autorizado a los servicios de correo electrónico Exchange Online de varias agencias gubernamentales.
Microsoft comenzó a investigar los ataques el 16 de junio y descubrió que un grupo de ciberespionaje chino al que rastrea como Storm-0558 violó las cuentas de correo electrónico de aproximadamente 25 organizaciones (según se informa, incluidos los Departamentos de Estado y Comercio de EE.UU.).
Los actores de amenazas utilizaron la clave de firma empresarial de Azure AD robada para falsificar nuevos tokens de autenticación al explotar una falla de la API GetAccessTokenForResource, brindándoles acceso al correo empresarial de los objetivos.
Storm-0558 usó de comandos de PowerShell y Python para generar nuevos tokens de acceso a través de llamadas API REST contra el servicio OWA Exchange Store para robar correos electrónicos y archivos adjuntos. Sin embargo, Redmond no confirmó si utilizaron este enfoque en los ataques de robo de datos de Exchange Online del mes pasado.
"Nuestra telemetría e investigaciones indican que la actividad posterior al compromiso se limitó al acceso al correo electrónico y la exfiltración para usuarios específicos", agregó Microsoft.
La compañía bloqueó el uso de la clave de firma privada robada para todos los clientes afectados el 3 de julio y dice que la infraestructura de reproducción del token de los atacantes se cerró un día después.
El 27 de junio, Microsoft también revocó todas las claves de firma de MSA válidas para bloquear todos los intentos de generar nuevos tokens de acceso y trasladó los recién generados al almacén de claves que utiliza para sus sistemas empresariales.
Sin embargo, aunque Redmond ya no ha detectado ninguna actividad maliciosa de Storm-0558 relacionada con la clave, el aviso de hoy dice que los atacantes ahora han cambiado a otras técnicas.
El martes, Microsoft también reveló que el grupo ruso RomCom explotó un Zero-Day de Office que aún no se ha parcheado, en los recientes ataques de phishing contra organizaciones que asistieron a la Cumbre de la OTAN en Vilnius, Lituania.
Los operadores de RomCom utilizaron documentos maliciosos que se hacían pasar por el Congreso Mundial de Ucrania para impulsar e implementar cargas útiles de malware como el cargador MagicSpell y la puerta trasera de RomCom.
Fuente: BC