Campanha de Phishing com Tema Microsoft Teams fornece Acesso Remoto
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha de phishing ativa usa iscas temáticas do Microsoft Teams para distribuir ferramentas legítimas de acesso remoto para acesso não autorizado. As vítimas são direcionadas para páginas de destino fraudulentas que imitam serviços de produtividade para baixar instaladores maliciosos. A operação utiliza uma estratégia de infraestrutura dupla que envolve tanto sites legítimos comprometidos quanto hospedagem em nuvem controlada por atacantes.
Investigação
A investigação identificou uma campanha com múltiplos temas que utiliza engenharia social para induzir ao download de software. A análise revelou infraestrutura consistindo em sites de pequenas empresas comprometidas e serviços dedicados hospedados no Cloudflare. As atividades pós-execução incluem integração profunda no sistema via instalação de serviços, registro de pacote de autenticação LSA e sequestro de objetos COM para acesso persistente.
Mitigação
As organizações devem implementar MFA resistente a phishing e lista de permissão de aplicativos para restringir a instalação não autorizada de software. As equipes de segurança devem monitorar criações incomuns de serviços Windows, modificações de pacotes de autenticação LSA e mudanças no registro do Modo de Segurança. O treinamento de conscientização do usuário deve se concentrar especificamente em verificar notificações inesperadas de plataformas de colaboração.
Resposta
Após a detecção, as organizações devem isolar os endpoints afetados para impedir maior movimentação lateral. Conduza uma análise forense para identificar e remover todos os mecanismos de persistência, incluindo provedores de credenciais personalizadas e objetos COM. Recomenda-se fortemente um redefinição completa de credenciais para todas as contas de usuário impactadas.
"flowchart TD step_initial_access["Acesso Inicial: T1566.002 – Phishing: Spearphishing Link via notificações do Microsoft Teams falsificadas"] step_drive_by["T1189 – Comprometimento Drive-by via página de destino fraudulenta solicitando download de instalador"] step_user_execution["Execução do Usuário: T1204.002 – Arquivo Malicioso; envolve verificações do sistema (T1497.001) e atraso de execução (T1678)"] step_execution_injection["T1055 – Injeção de Processo via registro de objeto COM e uso de Ferramentas de Acesso Remoto (T1219)"] rules_for_execution_injection("<b>Nome da Regra</b>: Comando e Controle Suspeitos por Solicitação DNS de TLD Incomum (via dns)<br/><b>ID da Regra</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Persistência: T1543.003 (Serviço Windows), T1547.002 (Autostart na Inicialização/Logon) e T1546.015 (Sequestro de COM)"] step_credential_access["Acesso a Credenciais: T1556 – Modificação do Processo de Autenticação para interceptar credenciais no logon"] step_initial_access –>|leva a| step_drive_by step_drive_by –>|leva a| step_user_execution step_user_execution –>|leva a| step_execution_injection step_execution_injection –>|leva a| step_persistence step_persistence –>|leva a| step_credential_access step_execution_injection -.->|detectado por| rules_for_execution_injection "
Fluxo de Ataque
Detecções
Possível Abuso de Domínio de Desenvolvimento Cloudflare (via dns)
Ver
Comando e Controle Suspeitos por Solicitação DNS de TLD Incomum (via dns)
Ver
Detecção de Campanha de Phishing Temática do Microsoft Teams [Criação de Processo no Windows]
Ver
Detecção de Campanha de Phishing do Microsoft Teams [Log de Eventos de Segurança do Microsoft Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria e Linha de Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa e Comandos de Ataque: O adversário entrega um e-mail de phishing temático do Microsoft Teams contendo um link para um
.msiPacote malicioso. Quando o usuário executa o pacote,msiexec.exeé invocado com parâmetros projetados para instalar um backdoor oculto. Para alcançar persistência, o instalador invocarundll32.exepara carregar uma DLL personalizada que registra um novo serviço do sistema. A linha de comando inclui especificamente a stringservicepara imitar o comportamento descrito no relatório de inteligência de ameaças, acionando assim a regra de detecção. -
Script de Teste de Regressão:
# Script de simulação para acionar a regra de detecção # Objetivo: Executar msiexec ou rundll32 com 'service' na linha de comando Write-Host "[+] Iniciando Simulação: Acionando Detecção de Serviço MSI/Rundll32" -ForegroundColor Cyan # Cenário 1: Acionar via msiexec.exe Write-Host "[+] Cenário 1: Executando msiexec com a palavra-chave 'service'..." -ForegroundColor Yellow Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait # Cenário 2: Acionar via rundll32.exe Write-Host "[+] Cenário 2: Executando rundll32.exe com a palavra-chave 'service'..." -ForegroundColor Yellow Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait Write-Host "[+] Simulação Completa." -ForegroundColor Green -
Comandos de Limpeza:
# Nenhuma alteração permanente foi feita pelo script de simulação, pois utilizou binários de sistema existentes # e argumentos não destrutivos. Nenhuma limpeza é necessária. Write-Host "[+] Limpeza: Nenhum artefato criado." -ForegroundColor Cyan