Hackers rusos aprovechan vulnerabilidad de OAuth en Microsoft para atacar a aliados de Ucrania mediante Signal y WhatsApp
Publicado enAtaques

Hackers rusos aprovechan vulnerabilidad de OAuth en Microsoft para atacar a aliados de Ucrania mediante Signal y WhatsApp

No hay comentarios

Ataques dirigidos por actores rusos explotan OAuth de Microsoft para comprometer cuentas

Desde principios de marzo de 2025, múltiples grupos de amenazas vinculados a Rusia han intensificado campañas altamente dirigidas contra individuos y organizaciones con conexiones a Ucrania y derechos humanos. El objetivo principal es obtener acceso no autorizado a cuentas de Microsoft 365 mediante técnicas avanzadas de ingeniería social y explotación de OAuth.

Cambio en la metodología de ataque

Según investigaciones de Volexity, estos actores han abandonado el uso del método “device code flow”, previamente documentado, para adoptar un enfoque más sofisticado centrado en:

  • Phishing personalizado con dominios falsificados de Microsoft
  • Abuso de aplicaciones OAuth maliciosas
  • Compromiso de cuentas legítimas para crear puertas traseras persistentes

Técnicas técnicas empleadas

Los atacantes están implementando un flujo de ataque en varias etapas:

  1. Creación de aplicaciones OAuth maliciosas registradas en Azure AD
  2. Redireccionamiento de víctimas a páginas de inicio de sesión legítimas de Microsoft
  3. Solicitud de permisos excesivos (Mail.ReadWrite, Contacts.Read, etc.)
  4. Establecimiento de persistencia mediante tokens de actualización de larga duración

Implicaciones de seguridad

Este tipo de ataque presenta desafíos significativos para la detección porque:

  • El tráfico se origina desde direcciones IP legítimas de Microsoft
  • No se requiere malware tradicional
  • Los tokens comprometidos pueden ser difíciles de revocar completamente

Medidas de mitigación recomendadas

Las organizaciones deben implementar las siguientes contramedidas técnicas:

  • Habilitar Conditional Access con políticas de ubicación y dispositivo
  • Restringir los permisos de aplicación OAuth al mínimo necesario
  • Monitorizar actividades sospechosas en el registro de auditoría de Azure AD
  • Implementar MFA con verificación de número coincidente
  • Revisar y aprobar manualmente todas las solicitudes de consentimiento de aplicaciones

Este incidente destaca la evolución continua de las tácticas APT y la importancia de adoptar un enfoque de defensa en profundidad para proteger entornos basados en la nube.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta