Microsoft anunció recientemente que bloqueó a un grupo de hackers, conocido como Storm-0558, que accedió a cuentas de correo electrónico de aproximadamente 25 organizaciones, incluyendo agencias gubernamentales.
La investigación de la empresa reveló que, a partir del 15 de mayo, el grupo de hackers aprovechó una vulnerabilidad para falsificar tokens de autenticación y obtener acceso a las cuentas de Microsoft 365 de las organizaciones.
Los hackers podían hacerse pasar por usuarios y acceder a las cuentas de correo electrónico a través de servicios como Outlook Web Access y Outlook.com.
El grupo Storm-0558 es una actividad estatal con base en China. Se enfocan en espionaje, robo de datos y acceso a credenciales. Microsoft rastrea el malware personalizado utilizado por el grupo, como Cigril y Bling, para el acceso a credenciales.
La empresa afirma haber resuelto completamente el problema y bloqueado el acceso de los hackers. La CISA y el FBI recomiendan que las organizaciones que utilizan Exchange Online implementen una supervisión y registro mejorados para detectar ataques similares.
Microsoft está trabajando con sus clientes afectados y los ha notificado antes de hacerlo público. La empresa declaró que no encontró evidencia de que los hackers permanecieran en ningún sistema corporativo.
Las recomendaciones de la CISA y el FBI incluyen habilitar funciones avanzadas de registro de auditoría y obtener visibilidad en los patrones de tráfico en la nube estándar.