Se ha emitido una alerta de inteligencia de amenazas advirtiendo sobre una sofisticada campaña de phishing que está abusando activamente de la funcionalidad de los Grupos de Microsoft 365 (M365) y Outlook. Los actores de amenazas han descubierto que, al utilizar o comprometer la infraestructura de Grupos de M365, pueden enviar correos electrónicos maliciosos que se originan desde los propios servidores legítimos de Microsoft. Esta táctica les permite eludir casi por completo las Pasarelas de Correo Seguro (SEGs) y los filtros antispam tradicionales, ya que los mensajes son percibidos como “internos” o altamente confiables por la plataforma receptora.
Veredicto Analítico
- Estado: Confirmado (Campañas de explotación activa detectadas en la naturaleza).
- Confianza: Alta (Táctica documentada y confirmada por investigadores de seguridad y telemetría de Microsoft).
- Riesgo para SOC TDIR: Alto. El ataque neutraliza el perímetro de defensa del correo electrónico. Al abusar de la “confianza implícita” que los sistemas (y los usuarios) tienen hacia las notificaciones oficiales de Microsoft 365, las tasas de éxito en el robo de credenciales o distribución de malware aumentan drásticamente.
- Urgencia operativa: Media-Alta. Obliga a las organizaciones a auditar la gobernanza y los controles de creación de grupos dentro de su tenant de la nube.
- Base del veredicto: Abuso de diseño de funcionalidad legítima (Design Flaw/Feature Abuse) para inyectar correos desde dominios de alta reputación.
Hallazgos Clave
- Infraestructura Abusada: Grupos de Microsoft 365, Listas de Distribución de Outlook y, en algunos casos, notificaciones automatizadas de SharePoint integradas.
- Mecanismo de Evasión: Los correos enviados a través de un Grupo de M365 legítimo heredan la firma DKIM y el registro SPF de Microsoft, pasando automáticamente las verificaciones DMARC.
- Vector de Ingeniería Social: Los mensajes suelen imitar notificaciones corporativas urgentes (ej. “Documento compartido a través del Grupo de RRHH”, “Actualización obligatoria de políticas”, “Buzón de voz del equipo”). Los enlaces incrustados dirigen a los usuarios a páginas de inicio de sesión falsas (Adversary-in-the-Middle – AiTM) diseñadas para robar credenciales y tokens de sesión.
Análisis Técnico
- Mecanismo de Explotación: El ataque tiene dos variantes principales. En la primera, el atacante compromete una cuenta de bajo nivel en la organización y, si las políticas lo permiten, crea un nuevo Grupo de M365 (ej. “IT Support Team”), añadiendo al resto de los empleados y enviando el phishing de forma interna. En la segunda variante, atacantes externos envían correos a Grupos de M365 públicos o mal configurados que permiten remitentes externos; M365 recibe el correo y lo “reenvía” a los miembros del grupo utilizando su propia infraestructura de alta confianza.
TTPs (MITRE ATT&CK)
- Acceso Inicial: Phishing dirigido con enlaces maliciosos (Spearphishing Link – T1566.002).
- Evasión de Defensas: Subversión de controles de confianza y elusión de filtros perimetrales abusando de servicios en la nube (Impair Defenses / Subvert Trust Controls – T1562).
- Uso de Recursos Legítimos: Abuso de servicios web (Web Service – T1102).
Recomendaciones Operativas
Para Administración de Microsoft 365 y TI
- Restringir la Creación de Grupos: Deshabilitar la capacidad de los usuarios estándar para crear Grupos de Microsoft 365. Restringir este privilegio únicamente a administradores de TI o mediante un flujo de aprobación formal.
- Bloquear Remitentes Externos: Auditar todos los Grupos de M365 y Listas de Distribución existentes. Desactivar la opción “Permitir que los remitentes externos envíen correos electrónicos a este grupo” a menos que sea estrictamente necesario para la operación del negocio.
- Reglas de Flujo de Correo (Mail Flow Rules): Implementar reglas en Exchange Online para agregar advertencias visuales a los correos que provengan de Grupos de M365 pero que contengan enlaces a dominios recién registrados o clasificados como sospechosos.
Para el SOC (Monitoreo y Detección)
- Cacería en el Unified Audit Log (UAL): Monitorizar los registros de auditoría de Microsoft 365 en busca de un aumento anómalo en la creación de Grupos (GroupAdded, MemberAdded), especialmente si son creados por usuarios que habitualmente no realizan estas acciones.
- Monitorización de Campañas Internas: Investigar ráfagas de correos idénticos originados desde direcciones de grupos de distribución hacia múltiples empleados que resulten en bloqueos de red hacia dominios de phishing conocidos.
