Casos prácticos de la API de seguridad de MS Graph V2
El equipo de Sophos MDR identificó a un usuario con ocho direcciones IP diferentes, dos cadenas de agente de usuario de versiones de Chrome distintas, y Windows NT y Macintosh como SO en las cadenas de agente de usuario, todo ello en la misma sesión. Este tipo de acción suele ser causada por una plataforma AiTM (ataques de intermediarios) como Evilginx, Modlishka o Muraena, donde las credenciales y tokens del usuario son capturados y luego reproducidos por el adversario desde una nueva IP donde el atacante inicia sesión en M365 con el token o las credenciales.
Tras una investigación exhaustiva, Sophos MDR identificó a otros seis usuarios del mismo cliente que habían sido afectados, incluidos varios usuarios con reglas de bandeja de entrada con los siguientes atributos dignos de interés:
MarkAsRead
: Cuando este parámetro está establecido en true, el correo electrónico se marca como leído. Los adversarios utilizan esta táctica para ayudar a ocultar la vulneración.Name
: El nombre dado a la regla de la bandeja de entrada. En este caso, el adversario puso el nombre "s". Los adversarios suelen utilizar nombres cortos para llamar menos la atención sobre la regla de la bandeja de entrada.SubjectOrBodyContainsWords
: Los adversarios pueden usar el atributoSubjectOrBodyContainsWords
para filtrar correos electrónicos en busca de palabras clave. En este caso, el adversario filtró en busca de palabras clave y luego movió los correos electrónicos que coincidieran.DeleteMessage
: CuandoDeleteMessage
es true, el correo electrónico se elimina y el usuario final no es consciente de que el correo existe.
Juntando todos estos atributos, podemos ver que cuando el usuario recibe un correo electrónico en el que el asunto o el cuerpo contienen " pirateado", "phishing", "malicioso", "sospechoso", "fraude", "MFA" o "suplantación", el correo se marca como leído y luego se elimina. Esto oculta al usuario final el hecho de que puede estar en peligro.