Dos campañas de ransomware están abusando de Microsoft Teams para infectar organizaciones y robar datos, y los delincuentes pueden tener vínculos con Black Basta y FIN7, según Sophos.
El equipo de detección y respuesta administrada (MDR) del fabricante de antivirus comenzó a investigar las dos campañas separadas en noviembre y diciembre. Ambos equipos de ransomware, que Sophos llama STAC5143 y STAC5777, operaron sus propios inquilinos del servicio Microsoft Office 365 para estos ataques y también abusaron de una configuración predeterminada de Teams que permite a los usuarios externos iniciar reuniones o chats con usuarios internos.
STAC5777, nos dicen, se superpone con un grupo Pistas de Microsoft como Storm-1811, que fue descubierto anteriormente abusando de la aplicación Quick Assist de Microsoft para implementar el ransomware Black Basta.
El segundo grupo, STAC5143, puede tener vínculos con FIN7 de RusiaTambién llamada Sangria Tempest o Carbon Spider.
Sin embargo, si bien parte del malware utilizado en los dos ataques STAC5143 recientes fue similar al utilizado por FIN7, «esta cadena de ataque fue diferente y se dirigió a organizaciones más pequeñas y en sectores comerciales diferentes que las víctimas habituales de FIN7», dijo el cazador de amenazas de Sophos Mark Parsons. Colin Cowie, Daniel Souter, Hunter Neal, Anthony Bradshaw y Sean Gallagher dicho en un informe del martes.
Del spam de correo electrónico a la apropiación de dispositivos
STAC5143 apareció por primera vez en el radar del equipo de Sophos en noviembre, cuando un cliente informó haber recibido más de 3000 correos electrónicos no deseados en un período de 45 minutos.
Poco después, el cliente recibió una llamada de Microsoft Teams desde fuera de la organización, proveniente de una cuenta falsa del «Administrador de la mesa de ayuda». Durante la llamada, la mesa de ayuda falsa le indicó al empleado que permitiera una sesión de control remoto de la pantalla a través de Teams. Luego, el atacante utilizó este acceso para abrir un shell de comandos, soltar algunos archivos y ejecutar malware en la máquina de la víctima.
Más específicamente, uno de los archivos eliminados fue un archivo .jar de código Java, ejecutado sin salida de consola por el programa legítimo javaw.exe, que a su vez ejecutó comandos de PowerShell y descargó un archivo 7zip y la utilidad de archivo 7zip; el archivo descomprimido contenía un ejecutable de ProtonVPN y una DLL maliciosa (nethost.dll) cargada lateralmente por el ejecutable de Proton.
Después de lanzar el ejecutable ProtonVPN para cargar nethost.dll, los atacantes se conectaron a servidores privados virtuales alojados en Rusia, los Países Bajos y los EE. UU., lo que finalmente activó las herramientas de protección de endpoints de Sophos (el uso de una DLL sospechosamente sin firmar, estamos dijo).
El código Java también realizó algún trabajo de reconocimiento, principalmente buscando el nombre de la cuenta del usuario y la red local, y finalmente extrajo y ejecutó desde un archivo caído. winter.zip Archive una carga útil que contenía una puerta trasera basada en Python para controlar remotamente la computadora con Windows. El código Python incluía una función lambda para ofuscar el malware, que coincidía con lo detectado anteriormente. Relacionado con FIN7 Cargadores de malware Python.
Otras dos piezas de código Python extraídas por el malware incluían copias de un disponible públicamente Proxy SOCKS inverso llamado RPivot, que FIN7 también ha utilizado en sus ataques anteriores.
«Sophos evalúa con confianza media que el malware Python utilizado en este ataque está conectado con los actores de amenazas detrás de FIN7/Sangria Tempest», señalaron los que respondieron al incidente.
STAC5777 detectado implementando el ransomware Black Basta
De manera similar, los ataques STAC5777 comenzaron con cantidades masivas de correos electrónicos no deseados enviados a organizaciones específicas, seguidos de mensajes de Teams que afirmaban ser del equipo interno de TI. Estos mensajes solicitaron una llamada de Teams para detener el spam.
«Pero a diferencia de los incidentes de STAC5143 que hemos observado, la actividad de STAC5777 se basó mucho más en acciones ‘prácticas en el teclado’ y comandos escritos lanzados directamente por los actores de amenazas que STAC5143», dijo el equipo de Sophos.
En cada uno de estos casos, los atacantes guiaron a la víctima a través de la instalación y ejecución de la herramienta de acceso remoto Quick Assist de Microsoft, que luego les dio el control del dispositivo de la víctima.
Después de tomar el control de la máquina con Windows, los malhechores descargaron una carga útil que contenía, entre otras cosas, una DLL maliciosa, winhttp.dll, que recopilaba el sistema, el sistema operativo y los detalles de configuración del usuario, y almacenaba las credenciales; además de pulsaciones de teclas.
Los atacantes también descargaron archivos .DLL sin firmar derivados de un kit de herramientas OpenSSL, que luego fueron utilizados por el proceso legítimo OneDriveStandaloneUpdater.exe de Windows para establecer inadvertidamente conexiones cifradas de comando y control (C2) a hosts remotos, incluido un servidor privado virtual vinculado a la infraestructura. favorecido por criminales radicados en Rusia.
Después de establecer las comunicaciones C2, se realizó el proceso OneDriveStandaloneUpdater.exe para buscar hosts del Protocolo de escritorio remoto y de administración remota de Windows (WinRM) a los que se pudiera acceder utilizando las credenciales robadas de las víctimas.
Luego, los atacantes intentaron moverse lateralmente hacia otros anfitriones. En un caso, utilizaron la puerta trasera para desinstalar la integración de autenticación multifactor local en el dispositivo comprometido.
Sophos también observó a los delincuentes aspirando archivos locales que contenían «contraseña» en el nombre del documento. Además, en un caso, que según Sophos fue bloqueado por sus protecciones de seguridad, STAC5777 intentó infectar la máquina con el Basta negra ransomware. ®
