Los cazadores de amenazas han llamado la atención sobre una nueva campaña en la que los malos actores se hicieron suceder por soporte de TI falsificado para ofrecer el situación de comando y control (C2) de Havoc como precursor de la exfiltración de datos o el ataque de ransomware.
Las intrusiones, identificadas por Huntress el mes pasado en cinco organizaciones asociadas, involucraron a los actores de amenazas que utilizaron spam de correo electrónico como señuelo, seguido de una citación telefónica desde un sección de TI que activa un canal de entrega de malware en capas.
“En una ordenamiento, el adversario pasó del paso auténtico a nueve puntos finales adicionales en el transcurso de merienda horas, implementando una combinación de cargas efectos personalizadas de Havoc Demon y herramientas RMM legítimas para la persistencia, con la velocidad del movimiento anexo sugiriendo fuertemente que el objetivo final era la exfiltración de datos, el ransomware o uno y otro”, dijeron los investigadores Michael Tigges, Anna Pham y Bryan Masters.
Vale la pena señalar que el modus operandi es consistente con el fuego graneado de correo electrónico y los ataques de phishing de Microsoft Teams orquestados por actores de amenazas asociados con la operación de ransomware Black Puntada en el pasado. Si perfectamente el asociación de delitos cibernéticos parece ocurrir guardado silencio luego de una filtración pública de sus registros de chat internos el año pasado, la presencia continua del manual del asociación sugiere dos escenarios posibles.
Una posibilidad es que los antiguos afiliados de Black Puntada hayan pasado a otras operaciones de ransomware y las estén utilizando para costar nuevos ataques, o que dos actores de amenazas rivales hayan acogido la misma táctica para realizar ingeniería social y obtener paso auténtico.
La condena de ataque comienza con una campaña de spam cuyo objetivo es saturar las bandejas de entrada del objetivo con correos electrónicos no deseados. En el posterior paso, los actores de la amenaza, haciéndose suceder por soporte de TI, contactan a los destinatarios y los engañan para que les otorguen paso remoto a sus máquinas, ya sea a través de una sesión de Quick Assist o instalando herramientas como AnyDesk para ayudar a solucionar el problema.
Con el paso implementado, el adversario no pierde tiempo en iniciar el navegador web y navegar a una página de destino falsa alojada en Amazon Web Services (AWS) que se hace suceder por Microsoft e indica a la víctima que ingrese su dirección de correo electrónico para aceptar al sistema de aggiornamento de reglas antispam de Outlook y renovar las reglas de spam.
Al hacer clic en un capullo para “Refrescar configuración de reglas” en la página falsificada se activa la ejecución de un script que muestra una superposición que solicita al favorecido que ingrese su contraseña.
“Este mecanismo tiene dos propósitos: permite que el actor de amenazas (TA) recopile credenciales que, cuando se combinan con la dirección de correo electrónico requerida, proporciona paso al panel de control; al mismo tiempo, agrega una capa de autenticidad a la interacción, convenciendo al favorecido de que el proceso es auténtico”, dijo Huntress.
El ataque asimismo depende de la descarga del supuesto parche antispam, que, a su vez, conduce a la ejecución de un binario lícito llamado “ADNotificationManager.exe” (o “DLPUserAgent.exe” y “Werfault.exe”) para descargar una DLL maliciosa. La carga útil de DLL implementa la distracción de defensa y ejecuta la carga útil del código shell Havoc generando un hilo que contiene el agente Demon.
Al menos una de las DLL identificadas (“vcruntime140_1.dll”) incorpora trucos adicionales para eludir la detección mediante software de seguridad mediante ofuscación del flujo de control, bucles de retardo basados en tiempos y técnicas como Hell’s Gate y Luminosidad’s Gate para conectar funciones ntdll.dll y evitar soluciones de detección y respuesta de puntos finales (EDR).
“Tras el despliegue exitoso del Havoc Demon en la habitante de playa, los actores de la amenaza comenzaron a moverse lateralmente a través del entorno de la víctima”, dijeron los investigadores. “Si perfectamente la ingeniería social auténtico y la entrega de malware demostraron algunas técnicas interesantes, la actividad destreza en el teclado que siguió fue comparativamente sencilla”.
Esto incluye la creación de tareas programadas para iniciar la carga útil de Havoc Demon cada vez que se reinician los puntos finales infectados, proporcionando a los actores de amenazas un paso remoto persistente. Dicho esto, se ha descubierto que el actor de amenazas implementa herramientas legítimas de compañía y monitoreo remoto (RMM) como Level RMM y XEOX en algunos hosts comprometidos en ocupación de Havoc, diversificando así sus mecanismos de persistencia.
Algunas conclusiones importantes de estos ataques son que los actores de amenazas están más que felices de hacerse suceder por personal de TI y pulsar a números de teléfono personales si eso mejoramiento la tasa de éxito, técnicas como la distracción de defensa que alguna vez se limitaron a ataques a grandes empresas o campañas patrocinadas por estados se están volviendo cada vez más comunes, y el malware elemental se personaliza para eludir firmas basadas en patrones.
Todavía es de destacar la velocidad a la que los ataques progresan rápida y agresivamente desde el compromiso auténtico hasta el movimiento anexo, así como los numerosos métodos utilizados para surtir la persistencia.
“Lo que comienza como una citación telefónica de ‘soporte de TI’ termina con un compromiso de red totalmente instrumentado: Havoc Demons modificados implementados en los puntos finales, herramientas RMM legítimas reutilizadas como persistencia de respaldo”, concluyó Huntress. “Esta campaña es un estudio de caso sobre cómo los adversarios modernos superponen la sofisticación en cada etapa: ingeniería social para entrar por la puerta, descarga de DLL para permanecer invisible y persistencia diversificada para sobrevivir a la remediación”.
