Los actores de la amenaza rusa abusaron de flujos de trabajo legítimos de la autenticación OAuth 2.0 para desviar Microsoft 365 cuentas de organizaciones de organizaciones relacionadas con Ucrania y los derechos humanos.
El oponente es para la identidad de funcionarios de países europeos y contactar a los objetivos a través de las plataformas de mensajería de WhatsApp y señalización. El objetivo es convencer a las posibles víctimas de proporcionar códigos de autorización de Microsoft que dan acceso a cuentas, o hacer clic en enlaces maliciosos que recopilan conexiones ad hoc y códigos de acceso.
El valor de la compañía de ciberseguridad ha observado esta actividad desde principios de marzo, justo después de una operación similar, reportado en febrero por Bocina Y Microsoft, que utilizó el phishing de autenticación del código periférico para robar las cuentas de Microsoft 365.
El panal sigue a los actores de la amenaza responsables de las dos campañas como UTA0352 y UTA0355 y ASES con una confianza promedio de que ambos son rusos.
Flujo de ataque
En un informe publicado hoy, los investigadores describen el ataque como comenzando con una señal o un mensaje de WhatsApp. El panal señala que, en un caso, la comunicación provino de una cuenta del gobierno ucraniano comprometida.
Fuente: Volexity
El delantero ha usurpado la identidad de los líderes políticos europeos o los diplomáticos ucranianos y atrae objetivos con invitaciones a reuniones de video privadas para discutir casos relacionados con Ucrania.
Una vez que se ha establecido el canal de comunicación, el atacante envía una URL de phishing OAuth bajo el pretexto de que es necesario unirse a la videollamada.
Fuente: Volexity
UTA0352 puede compartir instrucciones para unirse a la reunión en forma de un archivo PDF, así como una URL maliciosa fabricada para guardar al usuario en aplicaciones de Microsoft y terceros que usan flujos de trabajo Microsoft 365 OAuth.
Después de que el objetivo se autenticó, se “redirigen a una versión interna del Código Visual Studio, alojado en Insiders.vscode.dev”, explican a los investigadores.
La página de destino puede recibir los paramentadores de conexión de Microsoft 365, que incluye OAuth y el objetivo verá el cuadro de diálogo a continuación:
Fuente: Volexity
Al usar la ingeniería social, el atacante trata de engañar a la víctima para devolver el código anterior, con el pretexto de que es necesario unirse a la reunión.
Sin embargo, la cadena es un código de autorización válido durante 60 días que se puede utilizar para obtener un token de acceso para “todos los recursos normalmente disponibles para el usuario”.
“Cabe señalar que este código también apareció dentro del marco de URI en la barra de direcciones. El código de Visual Studio parece haberse configurado para facilitar la extracción y el intercambio de este código, mientras que la mayoría de las otras instancias simplemente conducirían a páginas vacías”, “,”, “,”, “,”, “,”. Bocina dicho.
Los investigadores simplificaron en el diagrama según los usuarios de flujos de ataque que se dirigen a los usuarios en función de una aplicación de primera parte del código Visual Studio:
Fuente: Volexity
La investigación señala que existen variaciones más antiguas en el reciente ataque de phishing, donde el atacante utilizó un formato para Azuread v1.0 en lugar de v2.0, las diferencias que consisten en los parámetros de URL utilizados.
La campaña en abril asignada a UTA0355 es similar a la de UTA0352, pero la comunicación inicial provino de una cuenta de mensajería del gobierno ucraniano comprometido y el atacante usó “el código de autorización robado de OAuth para registrar un nuevo dispositivo a la entrada de ID de Microsoft de la víctima (anteriormente Azure Active Directory)”.
Los investigadores cachondos afirman que una vez que la aeronave se ha registrado, tuvieron que convencer al objetivo de aprobar la solicitud de autenticación de dos factores (2FA) para poder acceder al correo electrónico de la víctima.
Para lograr esto, el actor de amenaza diseñó en camino diciendo que el Código 2FA era necesario para “acceder a un organismo de SharePoint asociado con la conferencia”.
Este último paso le da al delantero un token para acceder a la información y los correos electrónicos de la víctima, pero también un dispositivo recientemente grabado para mantener el acceso no autorizado durante un período más largo.
“En los periódicos examinados por volar, el registro inicial de los periféricos tuvo éxito poco después de interactuar con el atacante. Acceso a los datos por correo electrónico que ocurre al día siguiente, que fue entonces que UTA0355 había diseñado una situación en la que su solicitud 2FA sería aprobada”, según investigadores cachondos.
Para proteger contra tales ataques, Stérxity aconseja la configuración de alertas en las conexiones utilizando el código de Visual Studio cliente_idBloquear el acceso a ‘Insiders.vscode.dev‘ Y ‘VScode-Dedirect.AzureWebsites.net‘.
Los investigadores también recomiendan establecer políticas de acceso condicional para limitar el acceso solo al aparato aprobado.