Microsoft advierte sobre una nueva campaña de phishing emprendida por un corredor de acceso inicial que implica el uso de mensajes de Teams como señuelo para infiltrarse en las redes corporativas.
El equipo de Threat Intelligence del gigante tecnológico está rastreando el clúster bajo el nombre Tormenta-0324que también se conoce con los apodos TA543 y Sagrid.
«A partir de julio de 2023, se observó que Storm-0324 distribuía cargas útiles utilizando una herramienta de código abierto para enviar señuelos de phishing a través de chats de Microsoft Teams», dijo la empresa. dichoy agrega que el desarrollo marca un cambio en el uso de vectores de infección iniciales basados en correo electrónico para el acceso inicial.
Storm-0324 opera en la economía cibercriminal como distribuidor de carga útil y ofrece un servicio que permite la propagación de varios cargas útiles utilizando cadenas de infección evasivas. Esto incluye una combinación de descargadores, troyanos bancarios, ransomware y kits de herramientas modulares como Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab y JSSLoader.
Las secuencias de ataque montadas por el actor en el pasado han empleado mensajes de correo electrónico señuelo con temas de facturas y pagos para engañar a los usuarios para que descarguen archivos ZIP alojados en SharePoint y distribuyan Cargador JSSun cargador de malware capaz de crear perfiles de máquinas infectadas y cargar cargas útiles adicionales.
«Las cadenas de correo electrónico del actor son muy evasivas y utilizan sistemas de distribución de tráfico (TDS) como BlackTDS y Keitaro, que proporcionan capacidades de identificación y filtrado para adaptar el tráfico de los usuarios», dijo Microsoft.
«Esta capacidad de filtrado permite a los atacantes evadir la detección mediante ciertos rangos de IP que podrían ser soluciones de seguridad, como zonas de pruebas de malware, al tiempo que redirige con éxito a las víctimas a su sitio de descarga malicioso».
El acceso proporcionado por el malware allana el camino para que el actor de ransomware como servicio (RaaS) Sangria Tempest (también conocido como Carbon Spider, ELBRUS y FIN7) lleve a cabo acciones posteriores a la explotación e implemente malware de cifrado de archivos.
Desde entonces, el modus operandi recibió un lavado de cara a partir de julio de 2023, en el que los señuelos de phishing se envían a través de Teams con enlaces maliciosos que conducen a un archivo ZIP malicioso alojado en SharePoint.
Esto se logra aprovechando una herramienta de código abierto llamada EquiposPhisherque permite a los usuarios de inquilinos de Teams adjuntar archivos a mensajes enviados a inquilinos externos aprovechando un problema que fue primero resaltado por JUMPSEC en junio de 2023.
Vale la pena señalar que el actor estatal-nación ruso APT29 (también conocido como Midnight Blizzard) adoptó una técnica similar en ataques dirigidos a unas 40 organizaciones en todo el mundo en mayo de 2023.
La compañía dijo que ha realizado varias mejoras de seguridad para bloquear la amenaza y que «suspendió las cuentas identificadas y los inquilinos asociados con comportamiento no auténtico o fraudulento».
«Debido a que Storm-0324 cede el acceso a otros actores de amenazas, identificar y remediar la actividad de Storm-0324 puede evitar ataques posteriores más peligrosos, como el ransomware», señaló además Microsoft.
La divulgación se produce cuando Kaspersky detalló las tácticas, técnicas y procedimientos del notorio grupo de ransomware conocido como Cuba (también conocido como DIBUJO EN FRÍO y Tropical Scorpius), además de identificar un nuevo alias llamado «V Is Vendetta» que se sospecha que ha sido utilizado por un subgrupo o afiliado.
El grupo, al igual que los esquemas RaaS, emplea el modelo de negocio de doble extorsión para atacar a numerosas empresas en todo el mundo y generar ganancias ilícitas.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
Las rutas de ingreso implican la explotación de ProxyLogon, ProxyShell, ZeroLogon y fallas de seguridad en el software Veeam Backup & Replication para implementar Cobalt Strike y un puerta trasera personalizada denominado BUGHATCH, que luego se utiliza para entregar versiones actualizadas de BURNTCIGAR para finalizar el software de seguridad que se ejecuta en el host.
«La banda cubana de cibercrimen emplea un amplio arsenal de herramientas disponibles públicamente y hechas a medida, que mantiene actualizadas, y diversas técnicas y métodos, incluidos algunos bastante peligrosos, como BYOVD», dijo Kaspersky. dicho.
Los ataques de ransomware han presenciado a pico importante en 2023, y el Centro Nacional de Seguridad Cibernética (NCSC) y la Agencia Nacional contra el Crimen (NCA) del Reino Unido señalaron que «dependen de una cadena de suministro compleja».
«Centrarse en cepas específicas de ransomware puede resultar, en el mejor de los casos, confuso y, en el peor, inútil», afirman las agencias. dicho en un informe publicado a principios de esta semana. «La mayoría de los incidentes de ransomware no se deben a técnicas de ataque sofisticadas; los accesos iniciales a las víctimas se obtienen de manera oportunista, y el éxito suele ser el resultado de una mala higiene cibernética».