Proofpoint, una empresa destacada en el ámbito de la ciberseguridadLas soluciones de ciberseguridad son esenciales en la era di... y el cumplimiento normativo, ha descubierto una campaña de ciberataques de gran alcance que ha comprometido cientos de cuentas de usuarios en todo el mundo, centrándose en la plataforma de computación en la nube Microsoft Azure. Desde noviembre de 2023, esta campaña activa ha utilizado técnicas avanzadas de phishing y apropiación de cuentas para apuntar específicamente a altos ejecutivos, incluyendo directores de ventas, gerentes de cuentas y responsables financieros. Los atacantes han empleado señuelos personalizados dentro de documentos compartidos para infiltrarse en entornos empresariales y acceder a recursos valiosos.
La investigación de Proofpoint ha permitido identificar indicadores de compromiso únicos, tales como el uso de un agente de usuario de Linux inusual para ingresar a la aplicación OfficeHome, además de accesos no autorizados a otras aplicaciones nativas de Microsoft365. Tras una entrada inicial exitosa, los atacantes realizan diversas actividades posteriores al compromiso, que incluyen la manipulación de la autenticación multifactor, exfiltración de datos, phishing tanto interno como externo, fraude financiero y la implementación de reglas para eliminar evidencias de su presencia maliciosa.
Los ciberdelincuentes operan utilizando una infraestructura compleja que incluye servidores proxy, servicios de alojamiento de datos y dominios secuestrados. Esta configuración no solo oculta su ubicación real, sino que también representa un desafío significativo para los defensores que intentan bloquear estas actividades maliciosas. Aunque Proofpoint no ha vinculado esta campaña a ningún grupo específico de ciberdelincuenciaLa ciberdelincuencia es una forma de actividad delictiva cad..., los patrones y técnicas utilizados sugieren la posible implicación de actores rusos y nigerianos, siguiendo tendencias observadas en ataques anteriores dirigidos a plataformas en la nube.
Ante esta amenaza, Proofpoint recomienda a las organizaciones adoptar una serie de medidas de protección. Estas incluyen la supervisión de la cadena del agente de usuario y los dominios de origen para detectar y mitigar riesgos, el cambio inmediato de credenciales para los usuarios afectados, la modificación periódica de contraseñas para todos los usuarios, la identificación de accesos no autorizados a recursos confidenciales en la nube, y la implementación de políticas de corrección automática. Estas acciones buscan reducir el tiempo de permanencia de los atacantes en los sistemas comprometidos y minimizar los daños potenciales.
La alerta de Proofpoint subraya la importancia de mantener vigilancia constante y adoptar prácticas de seguridad robustas para proteger los entornos en la nube frente a las sofisticadas tácticas de los ciberdelincuentes.