Los investigadores de ciberseguridad han llamado la atención sobre un ataque cibernético en el que los actores de amenaza desconocidos desplegaron una herramienta de monitoreo de punto final de código abierto y una herramienta forense digital llamada Velociraptor, que ilustra el abuso continuo de software legítimo para fines maliciosos. «En este incidente, el actor de amenazas utilizó la herramienta para descargar y ejecutar el código de Visual Studio con la probable intención de crear un túnel a un servidor de comando y control (C2) controlado por el atacante», dijo el equipo de investigación de la Unidad de Amenazas de Sophos Counter Amenazas en un informe publicado esta semana. Si bien se sabe que los actores de amenaza adoptan técnicas de vida-de la tierra (LOTL) o aprovechan las herramientas legítimas de monitoreo y gestión remota (RMM) en sus ataques, el uso de Velociraptor señala una evolución táctica, donde los programas de respuesta a incidentes se están utilizando para obtener un punto de apoyo y minimizar la necesidad de tener para implementar su propio malware. Un análisis posterior del incidente ha revelado que los atacantes utilizaron la utilidad de Windows MSIEXEC para descargar un instalador MSI de un dominio de trabajadores de CloudFlare, que sirve como un campo de puesta en escena para otras herramientas utilizadas por ellos, incluida una herramienta de túnel de CloudFlare y una utilidad de administración remota conocida como radmin. El archivo MSI está diseñado para instalar Velociraptor, que luego establece contacto con otro dominio de trabajadores de CloudFlare. Luego se aprovecha el acceso para descargar el código Visual Studio del mismo servidor de puesta en escena utilizando un comando codificado PowerShell y ejecutar el editor de código fuente con la opción Túnel habilitada para permitir tanto el acceso remoto como la ejecución del código remoto. Los actores de amenaza también se han observado utilizando la utilidad de Windows MSIEXEC nuevamente para descargar cargas útiles adicionales de los trabajadores[.]carpeta de desarrollo. «Las organizaciones deben monitorear e investigar el uso no autorizado de Velociraptor y tratar las observaciones de esta Tradecraft como un precursor del ransomware», dijo Sophos. «Implementar un sistema de detección y respuesta de punto final, el monitoreo de herramientas inesperadas y comportamientos sospechosos, y seguir las mejores prácticas para asegurar sistemas y generar copias de seguridad puede mitigar la amenaza de ransomware». La divulgación se produce cuando las empresas de ciberseguridad cazadores y Permiso detallaron una campaña maliciosa que ha aprovechado a los equipos de Microsoft para el acceso inicial, lo que refleja un creciente patrón de actores de amenaza que arman el papel confiable y profundamente integrado de la plataforma en las comunicaciones empresariales para el despliegue de malware. Estos ataques comienzan con los actores de amenaza que utilizan inquilinos recién creados o comprometidos para enviar mensajes directos o iniciar llamadas a objetivos, hacerse pasar por su parte de equipos de mesa u otros contactos confiables para instalar software de acceso remoto como Anydesk, Dwagent o Asistencia rápida, y aprovechar el control de los sistemas de víctimas para entregar malware. Si bien se han vinculado técnicas similares que involucran herramientas de acceso remoto a grupos de ransomware como Black Basta desde mediados de 2014, estas campañas más nuevas renuncian al paso de bombardeo de correo electrónico preliminar y, en última instancia, utilizan el acceso remoto para entregar una carga útil de PowerShell con capacidades comúnmente asociadas con el robo de credenciales, la persistencia y la ejecución de código remoto. «Los señuelos utilizados para iniciar el compromiso están adaptados a parecer rutinarios e irremediables, generalmente enmarcados, ya que la asistencia de TI relacionada con el rendimiento de los equipos, el mantenimiento del sistema o el soporte técnico general», dijo el investigador de Permiso ISUF Deliu. «Estos escenarios están diseñados para combinarse con el fondo de la comunicación corporativa cotidiana, por lo que es menos probable que desencadenen sospechas». Vale la pena señalar que se han empleado tácticas similares para propagar familias de malware como Darkgate y Matanbuchus Malware durante el año pasado. Los ataques también sirven a un indicador de la credencial de Windows para engañar a los usuarios para que ingresen sus contraseñas con la apariencia de una solicitud de configuración del sistema benigna, que luego se cosechan y guardan en un archivo de texto en el sistema. «El phishing de los equipos de Microsoft ya no es una técnica complementaria: es una amenaza activa y en evolución que evita las defensas de correo electrónico tradicionales y la confianza en las herramientas de colaboración», dijeron los investigadores de seguridad Alon Klayman y Tomer Kachlon. «Al monitorear registros de auditoría como chatcreated y mensajes de mensajes, enriqueciendo señales con datos contextuales y capacitar a los usuarios para detectarlo/suplantaciones de la mesa de ayuda, los equipos de SOC pueden cerrar esta nueva brecha antes de explotarse». Los hallazgos también siguen el descubrimiento de una nueva campaña malvertida que combina un cargo legítimo[.]COM Enlace con Active Directory Federation Services (ADFS) para redirigir a los usuarios a las páginas de phishing de Microsoft 365 que son capaces de recolectar información de inicio de sesión. La cadena de ataque, en pocas palabras, comienza cuando una víctima hace clic en un enlace patrocinado por Rogue en las páginas de resultados del motor de búsqueda, lo que desencadena una cadena de redirección que finalmente los lleva a una página de inicio de sesión falsa que imita a Microsoft. «Resulta que el atacante había establecido un inquilino personalizado de Microsoft con los servicios de la Federación de Active Directory (ADFS) configurados», dijo Luke Jennings de Push Security. «Esto significa que Microsoft realizará la redirección al dominio malicioso personalizado». «Si bien esto no es una vulnerabilidad per se, la capacidad de los atacantes para agregar su propio servidor Microsoft ADFS para alojar su página de phishing y hacer que Microsoft redirige a ella es un desarrollo preocupante que hará que las detecciones basadas en URL sean aún más desafiantes de lo que ya son».