Los investigadores de ciberseguridad han llamado la atención sobre un ataque cibernético en el que los actores de amenaza desconocidos desplegaron una aparejo de monitoreo de punto final de código despejado y una aparejo forense digital emplazamiento Velociraptor, que ilustra el injusticia continuo de software permitido para fines maliciosos.
«En este incidente, el actor de amenazas utilizó la aparejo para descargar y ejecutar el código de Visual Studio con la probable intención de crear un túnel a un servidor de comando y control (C2) controlado por el atacante», dijo el equipo de investigación de la Pelotón de Amenazas de Sophos Counter Amenazas en un documentación publicado esta semana.
Si adecuadamente se sabe que los actores de amenaza adoptan técnicas de vida-de la tierra (LOTL) o aprovechan las herramientas legítimas de monitoreo y encargo remota (RMM) en sus ataques, el uso de Velociraptor señala una proceso táctica, donde los programas de respuesta a incidentes se están utilizando para obtener un punto de apoyo y minimizar la indigencia de tener para implementar su propio malware.
Un estudio posterior del incidente ha revelado que los atacantes utilizaron la utilidad de Windows MSIEXEC para descargar un instalador MSI de un dominio de trabajadores de CloudFlare, que sirve como un campo de puesta en número para otras herramientas utilizadas por ellos, incluida una aparejo de túnel de CloudFlare y una utilidad de sucursal remota conocida como radmin.
El archivo MSI está diseñado para instalar Velociraptor, que luego establece contacto con otro dominio de trabajadores de CloudFlare. Luego se aprovecha el acercamiento para descargar el código Visual Studio del mismo servidor de puesta en número utilizando un comando codificado PowerShell y ejecutar el editor de código fuente con la opción Túnel habilitada para permitir tanto el acercamiento remoto como la ejecución del código remoto.
Los actores de amenaza igualmente se han observado utilizando la utilidad de Windows MSIEXEC nuevamente para descargar cargas bártulos adicionales de la carpeta de avance de los trabajadores (.).
«Las organizaciones deben monitorear e investigar el uso no competente de Velociraptor y tratar las observaciones de esta Tradecraft como un precursor del ransomware», dijo Sophos. «Implementar un sistema de detección y respuesta de punto final, el monitoreo de herramientas inesperadas y comportamientos sospechosos, y seguir las mejores prácticas para afianzar sistemas y crear copias de seguridad puede mitigar la amenaza de ransomware».
La divulgación se produce cuando las empresas de ciberseguridad Hunters y Permiso detallaron una campaña maliciosa que ha trabajador a los equipos de Microsoft para el acercamiento original, lo que refleja un creciente patrón de actores de amenaza que arman el papel confiable y profundamente integrado de la plataforma en las comunicaciones centradas en la empresa para el despliegue de malware.
Estos ataques comienzan con los actores de amenaza que utilizan inquilinos recién creados o comprometidos para cursar mensajes directos o iniciar llamadas a objetivos, hacerse suceder por su parte de equipos de mesa u otros contactos confiables para instalar software de acercamiento remoto como Anydesk, Dwagent o Colaboración rápida, y exprimir el control de los sistemas de víctimas para entregar malware.
Si adecuadamente se han vinculado técnicas similares que involucran herramientas de acercamiento remoto a grupos de ransomware como Black Puntada desde mediados de 2014, estas campañas más nuevas renuncian al paso de hostigamiento de correo electrónico preliminar y, en última instancia, utilizan el acercamiento remoto para entregar una carga útil de PowerShell con capacidades comúnmente asociadas con el robo de credenciales, la persistencia y la ejecución de código remoto.
«Los señuelos utilizados para iniciar el compromiso están adaptados a parecer rutinarios e irremediables, generalmente enmarcados, ya que la subvención de TI relacionada con el rendimiento de los equipos, el mantenimiento del sistema o el soporte técnico común», dijo el investigador de Permiso ISUF Deliu. «Estos escenarios están diseñados para combinarse con el fondo de la comunicación corporativa cotidiana, por lo que es menos probable que desencadenen sospechas».
Vale la pena señalar que se han empleado tácticas similares para propagar familias de malware como Darkgate y Matanbuchus Malware durante el año pasado.
Los ataques igualmente sirven a un indicador de la credencial de Windows para engañar a los usuarios para que ingresen sus contraseñas con la apariencia de una solicitud de configuración del sistema benigna, que luego se cosechan y guardan en un archivo de texto en el sistema.
«El phishing de los equipos de Microsoft ya no es una técnica complementaria: es una amenaza activa y en proceso que evita las defensas de correo electrónico tradicionales y la confianza en las herramientas de colaboración», dijeron los investigadores de seguridad Alon Klayman y Tomer Kachlon.
«Al monitorear registros de auditoría como chatcreated y mensajes de mensajes, enriqueciendo señales con datos contextuales y capacitar a los usuarios para detectarlo/suplantaciones de la mesa de ayuda, los equipos de SOC pueden cerrar esta nueva brecha ayer de explotarse».
Los hallazgos igualmente siguen el descubrimiento de una nueva campaña de malvertición que combina enlaces de oficina legítimos (.) COM con Active Directory Federation Services (ADFS) para redirigir a los usuarios a Microsoft 365 páginas de phishing que son capaces de recoger información de inicio de sesión.
La dependencia de ataque, en pocas palabras, comienza cuando una víctima hace clic en un enlace patrocinado por Rogue en las páginas de resultados del motor de búsqueda, lo que desencadena una dependencia de redirección que finalmente los lleva a una página de inicio de sesión falsa que imita a Microsoft.
«Resulta que el atacante había configurado un inquilino personalizado de Microsoft con los servicios de la Confederación de Active Directory (ADFS) configurados», dijo Luke Jennings de Push Security. «Esto significa que Microsoft realizará la redirección al dominio zorro personalizado».
«Si adecuadamente esto no es una vulnerabilidad per se, la capacidad de los atacantes para juntar su propio servidor Microsoft ADFS para introducir su página de phishing y hacer que Microsoft redirige a ella es un avance preocupante que hará que las detecciones basadas en URL sean aún más desafiantes de lo que ya son».
