La campaña de espionaje de Office 365 tiene como objetivo la defensa militar de EE. UU. - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La campaña de espionaje de Office 365 tiene como objetivo la defensa militar de EE. UU.

Hola de nuevo. Soy Eduardo Arroyo y esta vez te voy a hablar sobre La campaña de espionaje de Office 365 tiene como objetivo la defensa militar de EE. UU.

La campaña de espionaje de Office 365 tiene como objetivo la defensa militar de EE. UU.

Un grupo vinculado a Irán está apuntando a fabricantes de drones y satélites, puertos del Golfo Pérsico y compañías navieras, entre otros.

Se ha detectado a un nuevo actor de amenazas, denominado DEV-0343, atacando empresas de tecnología de defensa estadounidenses e israelíes, puertos de entrada al Golfo Pérsico y compañías navieras globales con vínculos con Oriente Medio. El objetivo del actor de amenazas es adquirir cuentas de Microsoft Office 365.

Microsoft, que comenzó a monitorear la actividad a fines de julio de 2021, detalló los ataques. en un aviso publicado el lunes, agregando que los perpetradores parecen ser propensos al espionaje y tienen vínculos con Irán. Dijo que los atacantes cibernéticos están «llevando a cabo una amplia propagación de contraseñas» contra las cuentas de Office 365.

El spray de contraseñas es el proceso de probar una lista de nombres de usuario y una serie de contraseñas diferentes contra cuentas Online con la esperanza de encontrar una coincidencia y obtener acceso a cuentas protegidas por contraseña. En este caso, los atacantes suelen atacar «decenas a cientos de cuentas» dentro de cada organización objetivo, dijo Microsoft, y se ha visto probando miles de combinaciones de credenciales en cada cuenta.

Hasta ahora, la campaña se ha dirigido a alrededor de 250 organizaciones específicas que utilizan la suite Office basada en la nube de Microsoft, y menos de 20 de ellas se han visto comprometidas, según la compañía. Sin embargo, «DEV-0343 continúa evolucionando sus técnicas para refinar sus ataques», advirtió el cibergigante.

Los ataques por ahora se realizan utilizando un navegador Firefox o Chrome emulado y direcciones IP rotativas alojadas en una red proxy Tor, según el análisis. En promedio, cada ataque usa entre 150 y más de 1,000 direcciones únicas, dijo Microsoft, en un elaborado esfuerzo por ofuscar la infraestructura operativa.

«Cambiar la dirección IP para cada intento de contraseña se está convirtiendo en una técnica más común entre los grupos de amenazas sofisticados», según el informe. “A menudo, los grupos de amenazas aleatorizan el agente de usuario que están usando y la dirección IP. Esta técnica fue posible gracias a la aparición de servicios que proporcionan una gran cantidad de direcciones IP residenciales. Estos servicios a menudo se habilitan a través de complementos de navegador maliciosos «.

Este uso de direcciones proxy dificulta el desarrollo de indicadores o compensaciones (IoC), pero los patrones que Microsoft ha observado en los ataques incluyen:

  • Gran tráfico entrante desde direcciones IP de Tor para campañas de rociado de contraseñas
  • FireFox (más común) o emulación de navegador Chrome en campañas de rociado de contraseñas
  • Enumeración de Exchange ActiveSync (más común) o puntos finales de detección automática
  • Usando una herramienta de pulverización de enumeración / contraseña similar a la herramienta «o365spray»
  • Uso de la detección automática para validar cuentas y contraseñas

«Los operadores suelen apuntar a dos puntos finales de Exchange, Detección automática y ActiveSync, como una característica de la herramienta de enumeración / aspersión de contraseñas que utilizan», según Microsoft. «Esto permite que DEV-0343 valide cuentas y contraseñas activas y refine aún más su actividad de rociado de contraseñas».

El nombre basado en «DEV» del grupo es sólo una designación temporal de Microsoft que representa a un grupo empresarial en desarrollo. Una vez más se conocen los atacantes, Microsoft les dará un nombre permanente.

Por ahora, sin embargo, hay evidencia de que los actores de la amenaza son iraníes, dijo. Por ejemplo, los ataques fueron dirigidos específicamente a empresas que fabrican radares de grado militar, tecnología de drones, sistemas satelitales, sistemas de comunicaciones de respuesta a emergencias, sistemas de información geográfica (GIS) y análisis espacial, dijo Microsoft, junto con puertos y empresas de transporte. Esto se relaciona con los ataques pasados ​​de Irán a objetivos marítimos y marítimos y objetivos generales, según Microsoft.

«Esta actividad probablemente respalda los intereses nacionales de la República Islámica de Irán basándose en el análisis del modelo de vida, el amplio cruce en la focalización geográfica y sectorial con actores iraníes y la alineación de técnicas y objetivos con otro actor originario de Irán». Irán «, señaló la empresa. «Microsoft evalúa que este objetivo respalda el monitoreo del gobierno iraní de los servicios de seguridad del adversario y el envío de Medio Oriente para mejorar sus planes de contingencia … Obtener acceso a imágenes de satélite comerciales y planes de envío y los propietarios de registros podrían ayudar a Irán a compensar su programa de satélites en desarrollo».

Además, el grupo está más activo entre el domingo y el jueves entre las 7:30 a. M. Y las 8:30 p. M., Hora local en Irán, y Microsoft observa el pico de actividad de rociado de contraseñas entre las 7:30 a. M. Y las 2 p. M.: 30.

Para protegerse contra los ataques de filtración de contraseñas, Microsoft ha sugerido que los usuarios primero habiliten la autenticación multifactor.

De lo contrario, la compañía dijo que otras tácticas defensivas incluyen el uso de soluciones sin contraseña como Microsoft Authenticator para proteger las cuentas; revisión de las políticas de acceso de Exchange Online; evitar que los clientes de ActiveSync eludan las políticas de acceso condicional; y bloquear todo el tráfico entrante de los servicios de anonimización siempre que sea posible.

.

Recuerda compartir en tu Facebook para que tus amigos lo flipen

??? ? ? ???

Comparte