Microsoft anuncia que atacantes rusos patrocinados por el estado están extendiendo operaciones de espionaje cibernético a otras organizaciones, y que la compañía está notificando a las entidades afectadas. El grupo de hackers conocido como APT29, también llamado BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) y The Dukes, recientemente victimizó a Hewlett Packard Enterprise (HPE). Según el equipo de Inteligencia de Amenazas de Microsoft, el objetivo de APT29 son gobiernos, entidades diplomáticas, organizaciones no gubernamentales (ONG) y proveedores de servicios de tecnología de la información. La campaña es considerada una misión de espionaje para reunir información sensibles que sea de interés estratégico para Rusia y mantener una posición de ventaja a largo plazo.
En la actualidad, APT29 utiliza diversas tácticas para infiltrarse en entornos objetivo, entre ellas el uso de cuentas de usuario comprometidas para crear aplicaciones OAuth maliciosas y modificar los permisos de esas aplicaciones. Estas se utilizan para autenticarse en Microsoft Exchange Online y apuntar a cuentas de correo corporativo de Microsoft para exfiltrar datos de interés. El ataque dirigido a Microsoft en noviembre de 2023 utilizó pulverización de contraseñas para infiltrarse en una cuenta de prueba no productiva que no contaba con autenticación multifactor (MFA). La baja reproducibilidad de direcciones IP utilizadas en los ataques hace que la detección basada en indicadores de compromiso (IoC) sea difícil, por lo que Microsoft recomienda que las organizaciones tomen medidas para defenderse contra las aplicaciones OAuth maliciosas y la pulverización de contraseñas.
