Recientemente, el actor de amenazas ruso Midnight Blizzard llevó a cabo un ataque de ingeniería social a Microsoft Teams en la plataforma. El actor de amenazas utilizó inquilinos de Microsoft 365 previamente comprometidos para crear nuevos dominios que aparecen como entidades de soporte técnico. Bajo estos disfraces, Midnight Blizzard luego usa mensajes de Teams para intentar robar credenciales de organizaciones involucrando a un usuario y obteniendo la aprobación de solicitudes de autenticación multifactor (MFA).
Se recomienda a todas las organizaciones que utilizan Microsoft Teams reforzar las prácticas de seguridad y tratar cualquier solicitud de autenticación no iniciada por el usuario como maliciosa.
Según su última investigación, aproximadamente menos de 40 organizaciones globales se vieron afectadas por el ataque de ingeniería social de Microsoft Teams. Al igual que con ataques anteriores de estos actores de amenazas, las organizaciones eran principalmente gobiernos, organizaciones no gubernamentales (ONG), servicios de TI, tecnología, manufactura discreta y sectores de medios. Esto tiene sentido, dado que Midnight Blizzard es un actor que representa una amenaza para Rusia, anteriormente atribuido por los gobiernos de Estados Unidos y el Reino Unido como el Servicio de Inteligencia Exterior de la Federación Rusa.
Los ataques ocurrieron en mayo de 2023. Si recuerda, otro actor de amenazas, Storm-0558, también causó daños graves a los servidores de Microsoft en esa época.
Midnight Blizzard, sin embargo, utiliza credenciales reales de Microsoft Teams de cuentas comprometidas para intentar convencer a los usuarios de que ingresen el código en el mensaje de su dispositivo. Lo hacen haciéndose pasar por un equipo de soporte técnico o de seguridad.
Según Microsoft, Midnight Blizzard lo hace en 3 pasos:
- El usuario objetivo puede recibir una solicitud de mensaje de Microsoft Teams de un usuario externo que se hace pasar por un equipo de seguridad o soporte técnico.
- Si el usuario objetivo acepta la solicitud de mensaje, recibe un mensaje de Microsoft Teams del atacante que intenta convencerlo de que ingrese un código en la aplicación Microsoft Authenticator en su dispositivo móvil.
- Si el usuario objetivo acepta la solicitud de mensaje e ingresa el código en la aplicación Microsoft Authenticator, el actor de la amenaza recibe un token para autenticarse como el usuario objetivo. El actor obtiene acceso a la cuenta de Microsoft 365 del usuario una vez completado el flujo de autenticación.
Microsoft publicó una lista de nombres de correo electrónico con los que debes tener cuidado:
Indicadores de compromiso
| Indicador | Tipo | Descripción |
| msftprotection.onmicrosoft[.]com | Nombre de dominio | Subdominio controlado por actores maliciosos |
| identidadVerificación.onmicrosoft[.]com | Nombre de dominio | Subdominio controlado por actores maliciosos |
| cuentasVerificación.onmicrosoft[.]com | Nombre de dominio | Subdominio controlado por actores maliciosos |
| azuresecuritycenter.onmicrosoft[.]com | Nombre de dominio | Subdominio controlado por actores maliciosos |
| equiposprotection.onmicrosoft[.]com | Nombre de dominio | Subdominio controlado por actores maliciosos |
Sin embargo, puede protegerse a sí mismo y a su organización de los ataques de ingeniería social de Microsoft Teams siguiendo estas recomendaciones:
¿Qué opinas de estos ataques de ingeniería social de Microsoft Teams? Háganos saber en la sección de comentarios.
