Campaña de Phishing Temática de Microsoft Teams Entrega Acceso Remoto
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una campaña de phishing activa utiliza cebos con tema de Microsoft Teams para distribuir herramientas legítimas de acceso remoto con fines de acceso no autorizado. Las víctimas son dirigidas a páginas de aterrizaje fraudulentas que impersonan servicios de productividad para descargar instaladores maliciosos. La operación utiliza una estrategia de infraestructura dual que involucra tanto sitios web legítimos comprometidos como alojamiento en la nube controlado por atacantes.
Investigación
La investigación identificó una campaña multi-temática que aprovecha la ingeniería social para impulsar descargas de software. El análisis reveló una infraestructura consistente en sitios web de pequeñas empresas comprometidos y servicios dedicados alojados en Cloudflare. Las actividades posteriores a la ejecución incluyen una integración profunda en el sistema mediante la instalación de servicios, el registro del paquete de autenticación LSA y el secuestro de objetos COM para el acceso persistente.
Mitigación
Las organizaciones deben implementar MFA resistente a phishing y listas de permitir de aplicaciones para restringir la instalación de software no autorizado. Los equipos de seguridad deben monitorear la creación inusual de servicios de Windows, las modificaciones del paquete de autenticación LSA y los cambios en el registro de SafeMode. El entrenamiento de concienciación del usuario debe centrarse específicamente en verificar las notificaciones inesperadas de plataformas de colaboración.
Respuesta
Tras la detección, las organizaciones deben aislar los endpoints afectados para prevenir más movimientos laterales. Realizar una revisión forense para identificar y eliminar todos los mecanismos de persistencia, incluidos los proveedores de credenciales personalizados y los objetos COM. Se recomienda encarecidamente un restablecimiento completo de credenciales para todas las cuentas de usuario afectadas.
"flowchart TD step_initial_access["Acceso Inicial: T1566.002 u2013 Phishing: Enlace de Spearphishing a través de notificaciones de Microsoft Teams impersonadas"] step_drive_by["T1189 u2013 Compromiso a través de una página de aterrizaje fraudulenta que solicita la descarga de un instalador"] step_user_execution["Ejecución del Usuario: T1204.002 u2013 Archivo Malicioso; involucra verificaciones de sistema (T1497.001) y demora en la ejecución (T1678)"] step_execution_injection["T1055 u2013 Inyección de Proceso mediante el registro de objetos COM y uso de herramientas de acceso remoto (T1219)"] rules_for_execution_injection("<b>Nombre de la Regla</b>: Comando y Control Suspicioso por Solicitud de DNS de Dominio de Nivel Superior (TLD) Inusual (via dns)<br/><b>ID de la Regla</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Persistencia: T1543.003 (Servicio de Windows), T1547.002 (Autoinicio de Boot/Logon) y T1546.015 (Secuestro de COM)"] step_credential_access["Acceso a Credenciales: T1556 u2013 Modificación del Proceso de Autenticación para interceptar credenciales durante el inicio de sesión"] step_initial_access –>|conduce_a| step_drive_by step_drive_by –>|conduce_a| step_user_execution step_user_execution –>|conduce_a| step_execution_injection step_execution_injection –>|conduce_a| step_persistence step_persistence –>|conduce_a| step_credential_access step_execution_injection -.->|detectado_por| rules_for_execution_injection "
Flujo de Ataque
Detecciones
Posible Abuso de Dominio de Desarrollo de Cloudflare (via dns)
Ver
Comando y Control Suspicioso por Solicitud de DNS de Dominio de Nivel Superior (TLD) Inusual (via dns)
Ver
Detección de Campaña de Phishing con Tema de Microsoft Teams [Creación de Procesos en Windows]
Ver
Detección de Campaña de Phishing de Microsoft Teams [Registro de Eventos de Seguridad de Microsoft Windows]
Ver
Ejecución de Simulación
Prerequisito: El Chequeo Previo de Telemetría & Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y deben generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos: El adversario entrega un correo electrónico de phishing con tema de Microsoft Teams que contiene un enlace a un
.msipaquete malicioso. Cuando el usuario ejecuta el paquete,msiexec.exese invoca con parámetros diseñados para instalar una puerta trasera oculta. Para lograr persistencia, el instalador invocarundll32.exepara cargar un DLL personalizado que registra un nuevo servicio de sistema. La línea de comando incluye específicamente la cadenaservicepara imitar el comportamiento descrito en el informe de inteligencia de amenazas, activando así la regla de detección. -
Script de Prueba de Regresión:
# Script de simulación para activar la regla de detección # Objetivo: Ejecutar msiexec o rundll32 con 'service' en la línea de comandos Write-Host "[+] Iniciando Simulación: Activando Detección de Servicio MSI/Rundll32" -ForegroundColor Cyan # Escenario 1: Activar vía msiexec.exe Write-Host "[+] Escenario 1: Ejecutando msiexec con palabra clave 'service'..." -ForegroundColor Yellow Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait # Escenario 2: Activar vía rundll32.exe Write-Host "[+] Escenario 2: Ejecutando rundll32.exe con palabra clave 'service'..." -ForegroundColor Yellow Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait Write-Host "[+] Simulación Completa." -ForegroundColor Green -
Comandos de Limpieza:
# No se realizaron cambios permanentes con el script de simulación ya que usó binarios del sistema existentes # y argumentos no destructivos. No se requiere limpieza. Write-Host "[+] Limpieza: No se crearon artefactos." -ForegroundColor Cyan