Los investigadores de ciberseguridad han llamado la atención sobre un ataque cibernético en el que los actores de amenaza desconocidos desplegaron una utensilio de monitoreo de punto final de código extenso y una utensilio forense digital emplazamiento Velociraptor, que ilustra el injusticia continuo de software oficial para fines maliciosos.
“En este incidente, el actor de amenazas utilizó la utensilio para descargar y ejecutar el código de Visual Studio con la probable intención de crear un túnel a un servidor de comando y control (C2) controlado por el atacante”, dijo el equipo de investigación de la Pelotón de Amenazas de Sophos Counter Amenazas en un mensaje publicado esta semana.
Si adecuadamente se sabe que los actores de amenaza adoptan técnicas de vida-de la tierra (LOTL) o aprovechan las herramientas legítimas de monitoreo y encargo remota (RMM) en sus ataques, el uso de Velociraptor señala una proceso táctica, donde los programas de respuesta a incidentes se están utilizando para obtener un punto de apoyo y minimizar la escazes de tener para implementar su propio malware.
Un estudio posterior del incidente ha revelado que los atacantes utilizaron la utilidad de Windows MSIEXEC para descargar un instalador MSI de un dominio de trabajadores de CloudFlare, que sirve como un campo de puesta en ambiente para otras herramientas utilizadas por ellos, incluida una utensilio de túnel de CloudFlare y una utilidad de delegación remota conocida como radmin.
El archivo MSI está diseñado para instalar Velociraptor, que luego establece contacto con otro dominio de trabajadores de CloudFlare. Luego se aprovecha el ataque para descargar el código Visual Studio del mismo servidor de puesta en ambiente utilizando un comando codificado PowerShell y ejecutar el editor de código fuente con la opción Túnel habilitada para permitir tanto el ataque remoto como la ejecución del código remoto.
Los actores de amenaza incluso se han observado utilizando la utilidad de Windows MSIEXEC nuevamente para descargar cargas enseres adicionales de la carpeta de ampliación de los trabajadores (.).
“Las organizaciones deben monitorear e investigar el uso no calificado de Velociraptor y tratar las observaciones de esta Tradecraft como un precursor del ransomware”, dijo Sophos. “Implementar un sistema de detección y respuesta de punto final, el monitoreo de herramientas inesperadas y comportamientos sospechosos, y seguir las mejores prácticas para reforzar sistemas y gestar copias de seguridad puede mitigar la amenaza de ransomware”.
La divulgación se produce cuando las empresas de ciberseguridad cazadores y Permiso detallaron una campaña maliciosa que ha utilizado a los equipos de Microsoft para el ataque original, lo que refleja un creciente patrón de actores de amenaza que arman el papel confiable y profundamente integrado de la plataforma en las comunicaciones empresariales para el despliegue de malware.
Estos ataques comienzan con los actores de amenaza que utilizan inquilinos recién creados o comprometidos para destinar mensajes directos o iniciar llamadas a objetivos, hacerse acaecer por su parte de equipos de mesa u otros contactos confiables para instalar software de ataque remoto como Anydesk, Dwagent o Público rápida, y disfrutar el control de los sistemas de víctimas para entregar malware.
Si adecuadamente se han vinculado técnicas similares que involucran herramientas de ataque remoto a grupos de ransomware como Black Pespunte desde mediados de 2014, estas campañas más nuevas renuncian al paso de fuego graneado de correo electrónico preliminar y, en última instancia, utilizan el ataque remoto para entregar una carga útil de PowerShell con capacidades comúnmente asociadas con el robo de credenciales, la persistencia y la ejecución de código remoto.
“Los señuelos utilizados para iniciar el compromiso están adaptados a parecer rutinarios e irremediables, generalmente enmarcados, ya que la amparo de TI relacionada con el rendimiento de los equipos, el mantenimiento del sistema o el soporte técnico militar”, dijo el investigador de Permiso ISUF Deliu. “Estos escenarios están diseñados para combinarse con el fondo de la comunicación corporativa cotidiana, por lo que es menos probable que desencadenen sospechas”.
Vale la pena señalar que se han empleado tácticas similares para propagar familias de malware como Darkgate y Matanbuchus Malware durante el año pasado.
Los ataques incluso sirven a un indicador de la credencial de Windows para engañar a los usuarios para que ingresen sus contraseñas con la apariencia de una solicitud de configuración del sistema benigna, que luego se cosechan y guardan en un archivo de texto en el sistema.
“El phishing de los equipos de Microsoft ya no es una técnica complementaria: es una amenaza activa y en proceso que evita las defensas de correo electrónico tradicionales y la confianza en las herramientas de colaboración”, dijeron los investigadores de seguridad Alon Klayman y Tomer Kachlon.
“Al monitorear registros de auditoría como chatcreated y mensajes de mensajes, enriqueciendo señales con datos contextuales y capacitar a los usuarios para detectarlo/suplantaciones de la mesa de ayuda, los equipos de SOC pueden cerrar esta nueva brecha antiguamente de explotarse”.
Los hallazgos incluso siguen el descubrimiento de una nueva campaña de malvertimiento que combina enlaces de oficina legítimos (.) COM con los servicios de la Unión de Directores Active Directory (ADF) para redirigir a los usuarios a Microsoft 365 páginas de phishing que son capaces de cosechar información de inicio de sesión.
La prisión de ataque, en pocas palabras, comienza cuando una víctima hace clic en un enlace patrocinado por Rogue en las páginas de resultados del motor de búsqueda, lo que desencadena una prisión de redirección que finalmente los lleva a una página de inicio de sesión falsa que imita a Microsoft.
“Resulta que el atacante había establecido un inquilino personalizado de Microsoft con los servicios de la Unión de Active Directory (ADFS) configurados”, dijo Luke Jennings de Push Security. “Esto significa que Microsoft realizará la redirección al dominio desconfiado personalizado”.
“Si adecuadamente esto no es una vulnerabilidad per se, la capacidad de los atacantes para juntar su propio servidor Microsoft ADFS para penetrar su página de phishing y hacer que Microsoft redirige a ella es un ampliación preocupante que hará que las detecciones basadas en URL sean aún más desafiantes de lo que ya son”.
