Pesquisadores em cybersecurity chamaram a atenção para um ataque cibernético no qual agentes de ameaça desconhecidos utilizaram uma ferramenta open-source de endpoint monitoring e digital forensic chamada Velociraptor, evidenciando o uso contínuo de softwares legítimos para fins maliciosos.
“Neste incidente, o threat actor usou a ferramenta para baixar e executar o Visual Studio Code com a provável intenção de criar um túnel para um servidor command-and-control (C2) controlado pelo atacante”, afirmou o Sophos Counter Threat Unit Research Team em um relatório publicado nesta semana.
Embora seja conhecido que threat actors adotem técnicas living-off-the-land (LotL) ou explorem ferramentas legítimas de remote monitoring and management (RMM) em seus ataques, o uso do Velociraptor indica uma evolução tática, onde programas de incident response estão sendo empregados para obter acesso e reduzir a necessidade de implantar malware próprio.
Análises adicionais do incidente revelaram que os atacantes utilizaram a ferramenta Windows msiexec para baixar um instalador MSI de um domínio Cloudflare Workers, que serve como base para outras ferramentas usadas por eles, incluindo um utilitário de tunelamento da Cloudflare e uma ferramenta de administração remota conhecida como Radmin.
O arquivo MSI é projetado para instalar o Velociraptor, que então estabelece contato com outro domínio Cloudflare Workers.
O acesso é então usado para baixar o Visual Studio Code do mesmo servidor de staging por meio de um comando PowerShell codificado, executando o editor de código com a opção de túnel habilitada para permitir tanto o acesso remoto quanto a execução remota de código.
Os threat actors também foram observados usando novamente o utilitário msiexec do Windows para baixar payloads adicionais do diretório workers[.]dev.
“As organizações devem monitorar e investigar o uso não autorizado do Velociraptor e tratar observações dessa técnica como um indicativo preliminar para ransomware”, alertou a Sophos.
Implementar um sistema de endpoint detection and response, monitorar ferramentas inesperadas e comportamentos suspeitos, além de seguir as melhores práticas para proteger sistemas e realizar backups pode mitigar a ameaça de ransomware.
Essa divulgação ocorre enquanto as empresas de cybersecurity Hunters e Permiso detalhavam uma campanha maliciosa que explorou o Microsoft Teams para obter acesso inicial, refletindo um padrão crescente de threat actors que armam a plataforma devido ao seu papel confiável e integrado nas comunicações corporativas, para implantar malware.
Os ataques começam com os threat actors utilizando tenants recém-criados ou comprometidos para enviar mensagens diretas ou iniciar chamadas para alvos, se passando por equipes de help desk de TI ou outros contatos confiáveis para instalar softwares de acesso remoto como AnyDesk, DWAgent ou Quick Assist, tomando controle dos sistemas das vítimas para entregar malware.
Embora técnicas semelhantes envolvendo ferramentas de acesso remoto estejam associadas a grupos de ransomware como Black Basta desde meados de 2024, essas campanhas mais recentes evitam o passo preliminar do email bombing e, em vez disso, utilizam o acesso remoto para entregar um payload PowerShell com funcionalidades comumente associadas a roubo de credenciais, persistência e execução remota de código.
“As iscas usadas para iniciar o contato são elaboradas para parecer rotineiras e pouco relevantes, geralmente enquadradas como assistência de TI relacionada ao desempenho do Teams, manutenção do sistema ou suporte técnico geral”, explicou o pesquisador da Permiso, Isuf Deliu.
Esses cenários são desenhados para se misturar ao cotidiano da comunicação corporativa, dificultando a suspeita.
É importante destacar que táticas semelhantes foram usadas para propagar famílias de malware como DarkGate e Matanbuchus ao longo do último ano.
Os ataques também exibem uma janela de prompt de credencial do Windows para enganar os usuários a inserirem suas senhas sob o pretexto de uma solicitação legítima de configuração do sistema, que são então capturadas e salvas em um arquivo de texto no sistema.
“O phishing via Microsoft Teams não é mais uma técnica marginal — é uma ameaça ativa e em evolução que contorna as defesas tradicionais de email e explora a confiança nas ferramentas de colaboração”, afirmaram os pesquisadores de segurança Alon Klayman e Tomer Kachlon.
Monitorando logs de auditoria como ChatCreated e MessageSent, enriquecendo os sinais com dados contextuais e treinando usuários para reconhecer impersonações de TI/help desk, equipes SOC podem fechar essa nova brecha antes que seja explorada.
As descobertas também acompanham a identificação de uma nova campanha de malvertising que combina links legítimos do office[.]com com Active Directory Federation Services (ADFS) para redirecionar usuários a páginas de phishing do Microsoft 365 capazes de coletar informações de login.
A cadeia do ataque, em resumo, começa quando uma vítima clica em um link patrocinado malicioso nas páginas de resultados de mecanismos de busca, desencadeando uma cadeia de redirecionamentos que a leva a uma página falsa de login imitando a Microsoft.
“Descobrimos que o atacante configurou um tenant Microsoft personalizado com Active Directory Federation Services (ADFS) habilitado”, explicou Luke Jennings, da Push Security.
Isso significa que a Microsoft realiza o redirecionamento para o domínio malicioso personalizado.
Embora isso não seja uma vulnerabilidade, a capacidade dos atacantes de adicionar seu próprio servidor Microsoft ADFS para hospedar a página de phishing e fazer a Microsoft redirecionar para ele é um desenvolvimento preocupante que tornará detecções baseadas em URL ainda mais difíceis do que já são.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...