Los investigadores de ciberseguridad han llamado la atención sobre los ataques cibernéticos en los que los actores de amenaza desconocidos implementan monitoreo de punto final de código abierto y herramientas forenses digitales llamadas Velociraptor, lo que demuestra el abuso continuo de software legal para fines maliciosos.
«En este incidente, el actor de amenazas utilizó la herramienta para descargar y ejecutar el código de Visual Studio que podría crear túneles en un servidor de comando y control (C2) controlado por el atacante», dijo el equipo de investigación de la Unidad de Amenazas de Sophos Counter Amenazas en un informe publicado esta semana.
Se sabe que los actores de amenaza emplean técnicas de estadía (LOTL) y utilizan herramientas legales de monitorización y gestión remota (RMM) en los ataques, pero el uso de Velociraptor muestra una evolución táctica.
Con un análisis adicional del incidente, el atacante utilizó la utilidad de Windows MSIEXEC para descargar el instalador MSI del dominio de los trabajadores de CloudFlare. Actúa como un campo de puesta en escena para otras herramientas, como la herramienta CloudFlare Tunnel y la utilidad de administración remota conocida como Radmin.
El archivo MSI está diseñado para instalar Velociraptor y establece el contacto con otro dominio de Worker Worker. Luego aprovecha el acceso para descargar el código Visual Studio desde el mismo servidor de puesta en escena utilizando comandos de PowerShell codificados, y ejecuta el editor de código fuente con la opción Túnel habilitada para permitir tanto el acceso remoto como la ejecución del código remoto.
Se ha observado que los actores de amenaza han reutilizado y utilizado la utilidad de Windows MSIEXEC para descargar cargas útiles adicionales del desarrollador del trabajador (.).
«Las organizaciones deben monitorear e investigar el mal uso de Velociraptor y tratar esta observación comercial como un precursor del ransomware», dijo Sophos. «Las amenazas de ransomware se pueden mitigar implementando sistemas de detección y respuesta de punto final, monitoreando herramientas inesperadas y comportamientos sospechosos, y siguiendo las mejores prácticas para proteger su sistema y generar copias de seguridad».
Esta divulgación se produce cuando las compañías de ciberseguridad Hunter y Pariso detallaron una campaña maliciosa que aprovechó a los equipos de Microsoft para el acceso temprano, lo que refleja los patrones de crecimiento de los actores de amenaza que arman el papel confiable y profundamente integrado de la plataforma en las comunicaciones centradas en la empresa para el despliegue de malware.
Estos ataques comienzan con el envío de mensajes directamente utilizando inquilinos recién creados o comprometidos, llamando a objetivos, colocando cualquier equipo de escritorio u otros contactos confiables en equipos de mesa de ayuda y otros contactos confiables, instalando software de acceso remoto como Anydesk, Dwagent o Rapid Assist, y acumulando controles para entregar malware.
Técnicas similares, incluidas las herramientas de acceso remoto, se han vinculado a grupos de ransomware como Black Busta desde mediados de 2014, pero estas nuevas campañas aprovecharán el paso de bombardeo por correo electrónico de respaldo y, en última instancia, utilizarán el acceso remoto para proporcionar una carga útil de PowerShell con características generalmente relacionadas con el robo de calificaciones, persistencia y ejecución del código remoto.
«Los señuelos utilizados para iniciar la participación generalmente están adaptados a parecer rutinarios e discretos para proporcionar un marco para la asistencia de TI relacionada con el rendimiento del equipo, el mantenimiento del sistema o el soporte técnico general», dice el investigador de Perisiso ISUF Deliu. «Estos escenarios están diseñados para combinarse con el contexto de las comunicaciones corporativas cotidianas, lo que hace que sea menos probable que causen dudas».
Vale la pena señalar que se han adoptado tácticas similares durante el año pasado para propagar familias de malware como Darkgate y Matanbuchus Malware.
El ataque también proporciona un indicador de la credencial de Windows y lo engaña para que ingrese su contraseña bajo el disfraz de una solicitud de configuración del sistema de tipo, y se guarda en un archivo de texto en su sistema.
«Phishing Microsoft Teams ya no es una técnica marginal. Es una amenaza proactiva y en evolución que evita las defensas de correo electrónico tradicionales y promueve la confianza en las herramientas de colaboración», dice los investigadores de seguridad Alon Klayman y Tomer Kachlon.
«Al monitorear registros de auditoría, como tacos de chat y centros de mensajes, enriqueciendo señales con datos contextuales, capacitar a los usuarios para capacitar a la suplantación de la mesa de ayuda, los equipos de SOC pueden cerrar esta nueva brecha antes de explotarlos».
Los hallazgos siguen el descubrimiento de una nueva campaña de malvertimiento que combina enlaces de COM (.) COM con Servicios de la Federación de Active Directory (ADF), redirige a los usuarios a una página de phishing de Microsoft 365 donde pueden cosechar información de inicio de sesión.
La cadena de ataque, en pocas palabras, comienza cuando la víctima hace clic en un enlace patrocinado fraudulento en una página de resultados de motor de búsqueda, lo que desencadena una cadena de redirección que finalmente los lleva a una página de inicio de sesión falsa que imita a Microsoft.
«Resulta que el atacante ha configurado un inquilino personalizado de Microsoft que ha configurado los Servicios de Federación de Active Directory (ADF)», dice Luke Jennings de Push Security. «Esto significa que Microsoft realizará una redirección a un dominio malicioso personalizado».
«Esta no es una vulnerabilidad, pero la capacidad de un atacante para agregar su propio servidor Microsoft ADFS para alojar páginas de phishing y usar Microsoft Redirect es sobre desarrollos que dificultan la detección basada en URL».
Source link
