Regla de la Semana: Abuso del Actualizador de Microsoft Teams

Desde el inicio de la pandemia, las soluciones de videoconferencia se han convertido en una parte integral del flujo de trabajo en muchas organizaciones. Primero, Zoom tomó la delantera, y muchos ciberdelincuentes comenzaron a usarlo inmediatamente en campañas de phishing, aprovechando el hecho de que una gran cantidad de empleados no había usado previamente esta tecnología. Pronto, los investigadores de seguridad descubrieron brechas que solo se podían cerrar parcialmente con la configuración adecuada, y las organizaciones cambiaron a Google Meet y Microsoft Teams. Naturalmente, los investigadores de seguridad han comenzado a prestar más atención a estas soluciones y a encontrar formas que los ciberdelincuentes pueden usar durante los ataques. Y hoy te invitamos a prestar atención a la regla comunitaria desarrollada por Den Iuzvik que descubre el abuso del actualizador de Microsoft Teams: https://tdm.socprime.com/tdm/info/bV4m9VDDoGhV/dfNMw3MBQAH5UgbBqDoT/?p=1

Los adversarios pueden usar el actualizador de Microsoft Teams para descargar cualquier archivo binario o payload que deseen, ya que el actualizador permite conexiones locales a través de una carpeta compartida o local para las actualizaciones del producto. Por lo tanto, los adversarios pueden colocar el archivo malicioso dentro de la red de la organización objetivo en una carpeta compartida abierta y luego acceder al payload desde esa carpeta al equipo de la víctima. Los atacantes pueden usar este método para ocultar el tráfico malicioso, y dado que la instalación está en la carpeta Appdata del usuario local, no se necesita acceso privilegiado.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Evasión de Defensa

Técnicas: Ejecución de Proxy de Binario Firmado (T1218)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.