Desde noviembre de 2023, los investigadores han seguido las técnicas de phishing de credenciales y de apropiación de cuentas por parte de ciberdelincuentes para dirigirse a altos ejecutivos, desde directores de ventas, gerentes de cuentas y responsables financieros, mediante señuelos individualizados dentro de documentos compartidos, con el objetivo de acceder a recursos valiosos y responsabilidades de distintas funciones empresariales.
El análisis de técnicas y patrones de comportamiento ha permitido a Proofpoint reconocer indicadores de compromiso específicos, en particular el uso de un agente de usuario de Linux distinto para acceder a la aplicación de inicio de sesión OfficeHome, junto con accesos no autorizados a aplicaciones nativas adicionales de Microsoft365.
Una vez que los atacantes hacen su entrada inicial, se sucede una secuencia de actividades no autorizadas posteriores al compromiso, como la manipulación de la autenticación multifactor, la exfiltración de datos, el phishing interno y externo, el fraude financiero y reglas para borrar toda evidencia de actividad maliciosa en los buzones de correo de las víctimas.
La infraestructura operativa de los atacantes consiste en varios servidores proxy, servicios de alojamiento de datos y dominios secuestrados que, entre otras cosas, ayuda a enmascarar su verdadera ubicación y crea un desafío adicional para quienes buscan bloquear actividades maliciosas. Si bien Proofpoint no ha atribuido esta campaña a ningún grupo de ciberdelincuencia conocido, existe la posibilidad de que atacantes rusos y nigerianos estén involucrados, estableciendo paralelismos con ataques anteriores a la nube.
Para reforzar la defensa de las organizaciones contra este ataque, “conviene supervisar la cadena de agente de usuario y dominios de origen en los registros para detectar y mitigar riesgos potenciales, aplicar cambios inmediatos de credenciales para usuarios comprometidos y específicos, modificar periódicamente contraseñas para todos los usuarios, identificar mediante soluciones de seguridad posibles accesos no autorizados a recursos confidenciales en la nube, identificar vectores de ataque iniciales, así como emplear políticas de corrección automática para reducir el tiempo de permanencia de los atacantes y minimizar los daños potenciales”, aconsejan desde el equipo de investigadores sobre amenazas de Proofpoint.