Los investigadores de ciberseguridad han llamado la atención sobre un ciberataque en el que actores de amenazas desconocidos desplegaron una herramienta forense digital y de monitoreo de terminales de código abierto llamada Velocirraptor , lo que ilustra el uso indebido continuo de software legítimo con fines malintencionados.
«En este incidente, el autor de la amenaza utilizó la herramienta para descargar y ejecutar Visual Studio Code con la probable intención de crear un túnel a un servidor de mando y control (C2) controlado por un atacante», dijo el equipo de investigación de la unidad de contraamenazas de Sophos dijo en un informe publicado esta semana.
Si bien se sabe que los actores de amenazas adoptan técnicas de vida libre (LoTL) o aprovechan las herramientas legítimas de monitoreo y administración remota (RMM) en sus ataques, el uso de Velociraptor indica una evolución táctica, en la que los programas de respuesta a incidentes se utilizan para afianzarse y minimizar la necesidad de tener que implementar su propio malware.
Un análisis más detallado del incidente reveló que los atacantes usaron la utilidad msiexec de Windows para descargar un instalador MSI de un dominio de Cloudflare Workers, que sirve de base para otras herramientas que utilizan, incluida una herramienta de tunelización de Cloudflare y una utilidad de administración remota conocida como Radmin.
El archivo MSI está diseñado para instalar Velociraptor, que luego establece contacto con otro dominio de Cloudflare Workers. A continuación, se aprovecha el acceso para descargar Visual Studio Code desde el mismo servidor provisional mediante un comando de PowerShell codificado y ejecutar el editor de código fuente con la opción de túnel habilitada para permitir tanto el acceso remoto como la ejecución remota del código.
También se ha observado que los actores de amenazas utilizan nuevamente la utilidad msiexec para Windows para descargar cargas útiles adicionales de la carpeta workers [.] dev.
«Las organizaciones deben supervisar e investigar el uso no autorizado de Velociraptor y tratar las observaciones de este aparato como precursoras del ransomware», afirma Sophos. «La implementación de un sistema de detección y respuesta de terminales, la supervisión de herramientas inesperadas y comportamientos sospechosos, y la aplicación de las mejores prácticas para proteger los sistemas y generar copias de seguridad pueden mitigar la amenaza del ransomware».
La divulgación se produce cuando las firmas de ciberseguridad Cazadores y Permiso detalló una campaña maliciosa que ha aprovechado Microsoft Teams para el acceso inicial, lo que refleja un patrón creciente de actores de amenazas uso de armas el papel confiable y profundamente arraigado de la plataforma en las comunicaciones centradas en la empresa para el despliegue de malware.
Estos ataques comienzan cuando los actores de amenazas utilizan usuarios recién creados o comprometidos para enviar mensajes directos o iniciar llamadas a los objetivos, haciéndose pasar por equipos de asistencia de TI u otros contactos de confianza para instalar software de acceso remoto como AnyDesk, DWAgent o Quick Assist, y tomar el control de los sistemas de las víctimas para distribuir malware.
Mientras técnicas similares relacionadas con herramientas de acceso remoto que han estado vinculadas a grupos de ransomware como Black Basta desde mediados de 2024. Estas campañas más nuevas renuncian al paso preliminar del bombardeo del correo electrónico y, en última instancia, utilizan el acceso remoto para ofrecer una carga útil de PowerShell con capacidades comúnmente asociadas al robo de credenciales, la persistencia y la ejecución remota de código.
«Los señuelos que se utilizan para iniciar la participación se diseñan para que parezcan rutinarios y poco llamativos, y por lo general se enmarcan como asistencia de TI relacionada con el rendimiento del equipo, el mantenimiento del sistema o el soporte técnico general», afirma Isuf Deliu, investigador de Permiso. «Estos escenarios están diseñados para integrarse en el contexto de la comunicación corporativa cotidiana, con lo que es menos probable que generen sospechas».
Vale la pena señalar que se han empleado tácticas similares para propagar familias de malware como Puerta oscura y Matanbuchus malware durante el año pasado.
Los ataques también utilizan una solicitud de credenciales de Windows para engañar a los usuarios para que introduzcan sus contraseñas con el pretexto de una solicitud de configuración del sistema benigna, que luego se recopilan y guardan en un archivo de texto del sistema.
«El phishing de Microsoft Teams ya no es una técnica marginal, sino una amenaza activa y en evolución que elude las defensas tradicionales del correo electrónico y explota la confianza en las herramientas de colaboración», afirman los investigadores de seguridad Alon Klayman y Tomer Kachlon.
«Al supervisar los registros de auditoría, como ChatCreated y MessageSent, enriquecer las señales con datos contextuales y capacitar a los usuarios para que detecten las suplantaciones de TI o del servicio de asistencia, los equipos de SOC pueden cerrar esta nueva brecha antes de que se aproveche».
Los hallazgos también se producen tras el descubrimiento de una novedosa campaña de publicidad maliciosa que combina enlaces legítimos de office [.] com con los servicios de federación de Active Directory ( ADFS ) para redirigir a los usuarios a páginas de suplantación de identidad de Microsoft 365 que pueden recopilar información de inicio de sesión.
La cadena de ataque, en pocas palabras, comienza cuando una víctima hace clic en un enlace patrocinado fraudulento en las páginas de resultados de los motores de búsqueda, lo que desencadena una cadena de redireccionamiento que, en última instancia, la lleva a una página de inicio de sesión falsa que imita a Microsoft.
«Resulta que el atacante había creado un inquilino de Microsoft personalizado con los Servicios de federación de Active Directory (ADFS) configurados», dijo Luke Jennings, de Push Security dijo . «Esto significa que Microsoft realizará la redirección al dominio malicioso personalizado».
«Si bien no se trata de una vulnerabilidad en sí misma, la posibilidad de que los atacantes añadan su propio servidor ADFS de Microsoft para alojar su página de suplantación de identidad y hacer que Microsoft redirija a ella es un avance preocupante que hará que las detecciones basadas en URL sean aún más difíciles de lo que ya son».