Los cazadores de amenazas han llamado la atención sobre una nueva campaña, como parte de la cual los malos actores se hicieron pasar por un falso soporte de TI para ofrecer Caos marco de comando y control (C2) como precursor de la exfiltración de datos o el ataque de ransomware.
Las intrusiones, identificados publicado el mes pasado por Huntress en cinco organizaciones asociadas, involucró a los actores de amenazas que utilizaban el correo no deseado como señuelo, seguido de una llamada telefónica desde un departamento de TI que activaba una canalización de entrega de malware por capas.
«En una organización, el adversario pasó del acceso inicial a nueve puntos finales adicionales en el transcurso de once horas, implementando una combinación de Demonio del caos cargas útiles y herramientas de RMM legítimas para la persistencia, y la velocidad del movimiento lateral sugiere claramente que el objetivo final era la exfiltración de datos, el ransomware o ambos», afirman los investigadores Michael Tigges, Anna Pham y Bryan Masters.
Vale la pena señalar que el modus operandi es consistente con el bombardeo de correos electrónicos y los ataques de suplantación de identidad de Microsoft Team. orquestada por actores de amenazas asociado con la operación de ransomware Black Basta en el pasado. Si bien el grupo de ciberdelincuencia parece haber guardado silencio tras la filtración pública de sus registros de chat internos el año pasado, la continua presencia del manual del grupo sugiere dos posibles escenarios.
adsenseUna posibilidad es que las antiguas filiales de Black Basta hayan pasado a otras operaciones de ransomware y las estén utilizando para lanzar nuevos ataques, o que dos actores de amenazas rivales hayan adoptado la misma estrategia para llevar a cabo ingeniería social y obtener el acceso inicial.
La cadena de ataque comienza con una campaña de spam que tiene como objetivo saturar las bandejas de entrada de un objetivo con correos electrónicos no deseados. En el siguiente paso, los atacantes, haciéndose pasar por personal de TI, se ponen en contacto con los destinatarios y los engañan para que les concedan acceso remoto a sus máquinas, ya sea mediante una sesión de asistencia rápida o instalando herramientas como AnyDesk para ayudar a solucionar el problema.
Con el acceso establecido, el adversario no pierde tiempo en abrir el navegador web y navegar hasta una página de destino falsa alojada en Amazon Web Services (AWS) que se hace pasar por Microsoft y le indica a la víctima que introduzca su dirección de correo electrónico para acceder al sistema de actualización de reglas antispam de Outlook y actualizar las reglas de spam.
Al hacer clic en el botón «Actualizar la configuración de las reglas» de la página falsificada, se ejecuta un script que muestra una superposición en la que se pide al usuario que introduzca su contraseña.
«Este mecanismo tiene dos propósitos: permite al actor de la amenaza (TA) recopilar credenciales que, cuando se combinan con la dirección de correo electrónico requerida, brindan acceso al panel de control; al mismo tiempo, agrega una capa de autenticidad a la interacción y convence al usuario de que el proceso es genuino», dijo Huntress.
El ataque también depende de la descarga del supuesto parche antispam, que, a su vez, conduce a la ejecución de un binario legítimo llamado "ADNotificationManager.exe" (o "DLPUserAgent.exe" y "Werfault.exe «) para descargar una DLL maliciosa. La carga útil de la DLL implementa la evasión defensiva y ejecuta la carga útil del código de shell de Havoc al generar un subproceso que contiene el agente Demon.
Al menos una de las DLL identificadas (» vcruntime140_1.dll «) incorpora trucos adicionales para eludir la detección por parte del software de seguridad mediante el control, la ofuscación del flujo, los bucles de retardo basados en la temporización y técnicas como Puerta del Infierno y Puerta de Halo a gancho funciones de ntdll.dll y evite las soluciones de detección y respuesta de terminales (EDR).
«Tras el exitoso despliegue del Havoc Demon en la playa anfitriona, los actores de la amenaza comenzaron a moverse lateralmente por el entorno de la víctima», dijeron los investigadores. «Si bien la ingeniería social y la entrega de malware iniciales demostraron la utilización de algunas técnicas interesantes, la práctica con el teclado que siguió fue relativamente sencilla».
Esto incluye la creación de tareas programadas para lanzar la carga útil de Havoc Demon cada vez que se reinicien los puntos finales infectados, lo que proporciona a los actores de la amenaza un acceso remoto persistente. Dicho esto, se ha descubierto que el autor de la amenaza implementa herramientas legítimas de supervisión y gestión remotas (RMM), como Level RMM y XEOX, en algunos hosts comprometidos, en lugar de Havoc, lo que diversifica sus mecanismos de persistencia.
enlacesAlgunas conclusiones importantes de estos ataques son que los actores de amenazas están más que dispuestos a hacerse pasar por el personal de TI y llamar a números de teléfono personales si esto mejora la tasa de éxito; técnicas como la evasión por motivos de defensa, que antes se limitaban a los ataques a grandes empresas o a las campañas patrocinadas por el estado, son cada vez más comunes, y el malware básico se personaliza para eludir las firmas basadas en patrones.
También cabe destacar la velocidad a la que los ataques avanzan rápida y agresivamente desde el compromiso inicial hasta el movimiento lateral, así como los numerosos métodos utilizados para mantener la persistencia.
«Lo que comienza como una llamada telefónica de un soporte de TI termina con un compromiso de red totalmente instrumentado: Havoc Demons modificados implementados en todos los puntos finales y herramientas de RMM legítimas reutilizadas como persistencia de respaldo», concluyó Huntress. «Esta campaña es un estudio de caso sobre cómo los adversarios modernos combinan la sofisticación en cada etapa: ingeniería social para entrar, uso secundario de DLL para permanecer invisibles y persistencia diversificada para sobrevivir a la remediación».
Fuentes de Información: THEHACKERNEWS