Campagna di Phishing a Tema Microsoft Teams Fornisce Accesso Remoto
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Una campagna di phishing attiva utilizza esche a tema Microsoft Teams per distribuire strumenti di accesso remoto legittimi per accessi non autorizzati. Le vittime sono indirizzate a pagine di atterraggio fraudolente che impersonano servizi di produttività per scaricare installatori dannosi. L’operazione utilizza una strategia di infrastruttura duale che coinvolge sia siti Web legittimi compromessi che hosting cloud controllato dagli attaccanti.
Indagine
L’indagine ha identificato una campagna multi-tematica che sfrutta l’ingegneria sociale per promuovere download di software. L’analisi ha rivelato un’infrastruttura composta da siti Web di piccole aziende compromessi e servizi ospitati su Cloudflare dedicati. Le attività post-esecuzione includono un’integrazione profonda nel sistema tramite l’installazione di servizi, la registrazione di pacchetti di autenticazione LSA e l’hijacking di oggetti COM per l’accesso persistente.
Mitigazione
Le organizzazioni dovrebbero implementare MFA resistente al phishing e consentire solo le applicazioni autorizzate per limitare l’installazione non autorizzata di software. I team di sicurezza dovrebbero monitorare creazioni insolite di servizi Windows, modifiche al pacchetto di autenticazione LSA e cambiamenti nel registro SafeMode. La formazione sulla consapevolezza degli utenti dovrebbe concentrarsi specificamente sulla verifica delle notifiche inattese dalle piattaforme di collaborazione.
Risposta
Dopo la rilevazione, le organizzazioni dovrebbero isolare gli endpoint colpiti per prevenire ulteriore movimento laterale. Eseguire una revisione forense per identificare e rimuovere tutti i meccanismi di persistenza, inclusi provider di credenziali personalizzati e oggetti COM. È altamente raccomandato un reset completo delle credenziali per tutti gli account utente impattati.
"flowchart TD step_initial_access["Accesso Iniziale: T1566.002 – Phishing: Link di spearphishing tramite notifiche Microsoft Teams impersonate"] step_drive_by["T1189 – Compromissione Drive-by tramite pagina di atterraggio fraudolenta che richiede il download di un installatore"] step_user_execution["Esecuzione Utente: T1204.002 – File Dannoso; coinvolge controlli di sistema (T1497.001) e ritardo di esecuzione (T1678)"] step_execution_injection["T1055 – Iniezione di Processo tramite registrazione di oggetti COM e uso di Strumenti di Accesso Remoto (T1219)"] rules_for_execution_injection("<b>Nome Regola</b>: Comando e Controllo Sospetto tramite Richiesta DNS di Dominio di Livello Superiore Insolito (TLD)<br/><b>ID Regola</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Persistenza: T1543.003 (Servizio Windows), T1547.002 (Avvio Automatico Boot/Logon) e T1546.015 (Hijacking COM)"] step_credential_access["Accesso alle Credenziali: T1556 – Modificazione del Processo di Autenticazione per intercettare le credenziali al login"] step_initial_access –>|porta_a| step_drive_by step_drive_by –>|porta_a| step_user_execution step_user_execution –>|porta_a| step_execution_injection step_execution_injection –>|porta_a| step_persistence step_persistence –>|porta_a| step_credential_access step_execution_injection -.->|rilevata_da| rules_for_execution_injection "
Flusso dell’Attacco
Rilevazioni
Possibile Abuso del Dominio di Sviluppo Cloudflare (via dns)
Visualizza
Comando e Controllo Sospetto tramite Richiesta DNS di Dominio di Livello Superiore Insolito (TLD)
Visualizza
Rilevazione della Campagna di Phishing a Tema Microsoft Teams [Creazione Processo Windows]
Visualizza
Rilevamento della Campagna di Phishing di Microsoft Teams [Registro Eventi Sicurezza di Microsoft Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTPs identificate e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.
-
Narrazione dell’Attacco e Comandi: L’avversario consegna un’email di phishing a tema Microsoft Teams contenente un link a un pacchetto
.msimalevolo. Quando l’utente esegue il pacchetto,msiexec.exeviene invocato con parametri progettati per installare una backdoor nascosta. Per ottenere persistenza, l’installatore invocarundll32.exeper caricare una DLL personalizzata che registra un nuovo servizio di sistema. La linea di comando include specificamente la stringaservizioper imitare il comportamento descritto nel rapporto di intelligence sulla minaccia, attivando così la regola di rilevamento. -
Script di Test di Regressione:
# Script di simulazione per attivare la regola di rilevamento # Obiettivo: Eseguire msiexec o rundll32 con 'servizio' nella linea di comando Write-Host "[+] Inizio Simulazione: Attivazione Rilevamento Servizio MSI/Rundll32" -ForegroundColor Cyan # Scenario 1: Attivazione tramite msiexec.exe Write-Host "[+] Scenario 1: Esecuzione di msiexec con parola chiave 'servizio'..." -ForegroundColor Yellow Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait # Scenario 2: Attivazione tramite rundll32.exe Write-Host "[+] Scenario 2: Esecuzione di rundll32.exe con parola chiave 'servizio'..." -ForegroundColor Yellow Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait Write-Host "[+] Simulazione Completa." -ForegroundColor Green -
Comandi di Pulizia:
# Nessuna modifica permanente è stata apportata dallo script di simulazione poiché ha utilizzato binari di sistema esistenti # e argomenti non distruttivi. Nessuna pulizia richiesta. Write-Host "[+] Pulizia: Nessun artefatto creato." -ForegroundColor Cyan