Microsoft dice que un actor de amenazas obtuvo acceso a los inquilinos de la nube que alojan servidores de Microsoft Exchange en ataques de relleno de credenciales, con el objetivo final de implementar aplicaciones OAuth maliciosas y enviar correos electrónicos de phishing.
«La investigación reveló que el actor de amenazas lanzó ataques de relleno de credenciales contra cuentas de alto riesgo que no tenían habilitada la autenticación multifactor (MFA) y aprovechó las cuentas de administrador no seguras para obtener acceso inicial», reveló el equipo de investigación de Microsoft 365 Defender.
«El acceso no autorizado al inquilino de la nube permitió al actor crear una aplicación OAuth maliciosa que agregó un conector de entrada malicioso en el servidor de correo electrónico».
Luego, el atacante usó este conector de entrada y las reglas de transporte diseñadas para ayudar a evadir la detección para entregar correos electrónicos de phishing a través de los servidores de Exchange comprometidos.
Los actores de amenazas eliminaron el conector de entrada malicioso y todas las reglas de transporte entre campañas de spam como medida de evasión de defensa adicional.
Por el contrario, la aplicación OAuth permaneció inactiva durante meses entre ataques hasta que se usó nuevamente para agregar nuevos conectores y reglas antes de la próxima ola de ataques.
Estas campañas de correo electrónico se activaron desde la infraestructura de correo electrónico de Amazon SES y Mail Chimp, comúnmente utilizada para enviar correos electrónicos de marketing de forma masiva.
El análisis estático de Veracode brinda retroalimentación de seguridad rápida y automatizada a los desarrolladores en la canalización de IDE y CI/CD, realiza un escaneo completo de políticas antes de la implementación y brinda una guía clara sobre cómo encontrar, priorizar y solucionar problemas rápidamente, lo que ayuda a escalar significativamente los programas DevSecOps. .
Conocer..
El atacante usó una red de aplicaciones de un solo inquilino como plataforma de identidad durante todo el ataque.
Después de detectar el ataque, Redmond eliminó todas las aplicaciones vinculadas a esta red, envió alertas y recomendó medidas de remediación a todos los clientes afectados.
Microsoft dice que este actor de amenazas estuvo vinculado a campañas que impulsaban correos electrónicos de phishing durante muchos años.
También se vio al atacante enviando grandes volúmenes de correos electrónicos no deseados en períodos cortos de tiempo a través de otros medios «como conectarse a servidores de correo desde direcciones IP no autorizadas o enviar directamente desde una infraestructura legítima de envío de correo electrónico masivo basada en la nube».
Si te ha gustado, ¡compártelo con tus amigos!
