Ciberseguridad 360 | Correos electrónicos de agencias gubernamentales de EE. UU. comprometidos en ciberataque respaldado por China

Una agencia no identificada del Poder Ejecutivo Civil Federal (FCEB) en los EE. UU. detect� una actividad de correo electr�nico an�mala a mediados de junio de 2023, lo que llev� al descubrimiento por parte de Microsoft de una nueva campa�a de espionaje vinculada a China dirigida a dos docenas de organizaciones.

Los detalles provienen de un aviso conjunto de seguridad cibern�tica publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) el 12 de julio de 2023.

?En junio de 2023, una agencia del Poder Ejecutivo Civil Federal (FCEB) identific� actividad sospechosa en su entorno de nube de Microsoft 365 (M365)?, dijeron las autoridades . "Microsoft determin� que los actores de amenazas persistentes avanzadas (APT) accedieron y extrajeron datos no clasificados de Exchange Online Outlook".

Si bien no se revel� el nombre de la agencia gubernamental, CNN y el Washington Post informaron que se trataba del Departamento de Estado de EE. UU., citando a personas familiarizadas con el asunto. Tambi�n fueron atacados el Departamento de Comercio, as� como las cuentas de correo electr�nico pertenecientes a un miembro del personal del Congreso, un defensor de los derechos humanos de EE. UU. y grupos de expertos de EE. UU. Se estima que el n�mero de organizaciones afectadas en los EE. UU. es de un solo d�gito.

La divulgaci�n se produce un d�a despu�s de que el gigante tecnol�gico atribuy� la campa�a a un "actor de amenazas con sede en China" emergente que rastrea bajo el nombre Storm-0558, que se dirige principalmente a las agencias gubernamentales en Europa occidental y se centra en el espionaje y el robo de datos. La evidencia reunida hasta ahora muestra que la actividad maliciosa comenz� un mes antes de que fuera detectada.

China, sin embargo, ha rechazado las acusaciones de que estuvo detr�s del incidente de pirater�a y calific� a EE . ."

La cadena de ataque implic� que los ciberesp�as aprovecharan tokens de autenticaci�n falsificados para obtener acceso a las cuentas de correo electr�nico de los clientes mediante Outlook Web Access en Exchange Online (OWA) y Outlook.com. Los tokens se falsificaron utilizando una clave de firma de consumidor de cuenta de Microsoft (MSA) adquirida. El m�todo exacto por el cual se asegur� la clave sigue sin estar claro.

Storm-0558 tambi�n utiliza para facilitar el acceso a las credenciales dos herramientas de malware personalizadas llamadas Bling y Cigril , la �ltima de las cuales se ha caracterizado como un troyano que descifra archivos cifrados y los ejecuta directamente desde la memoria del sistema para evitar la detecci�n.

CISA dijo que la agencia FCEB pudo identificar la infracci�n al aprovechar el registro mejorado en Microsoft Purview Audit, espec�ficamente usando la acci�n de auditor�a de buz�n MailItemsAccessed .

La agencia recomienda adem�s que las organizaciones habiliten el registro de Purview Audit (Premium), activen el registro de auditor�a unificado ( UAL ) de Microsoft 365 y se aseguren de que los operadores puedan buscar en los registros para permitir la b�squeda de este tipo de actividad y diferenciarla del comportamiento esperado dentro del entorno. .

"Se alienta a las organizaciones a buscar valores at�picos y familiarizarse con los patrones de referencia para comprender mejor el tr�fico anormal versus el normal", agregaron CISA y el FBI.

Fuente: THM.