SOC Prime Bias: High

29 Jun 2026 06:08 UTC

Campagna di Phishing a Tema Microsoft Teams Fornisce Accesso Remoto

Author Photo
SOC Prime Team linkedin icon Segui
Campagna di Phishing a Tema Microsoft Teams Fornisce Accesso Remoto
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Una campagna di phishing attiva utilizza esche a tema Microsoft Teams per distribuire strumenti di accesso remoto legittimi per accessi non autorizzati. Le vittime sono indirizzate a pagine di atterraggio fraudolente che impersonano servizi di produttività per scaricare installatori dannosi. L’operazione utilizza una strategia di infrastruttura duale che coinvolge sia siti Web legittimi compromessi che hosting cloud controllato dagli attaccanti.

Indagine

L’indagine ha identificato una campagna multi-tematica che sfrutta l’ingegneria sociale per promuovere download di software. L’analisi ha rivelato un’infrastruttura composta da siti Web di piccole aziende compromessi e servizi ospitati su Cloudflare dedicati. Le attività post-esecuzione includono un’integrazione profonda nel sistema tramite l’installazione di servizi, la registrazione di pacchetti di autenticazione LSA e l’hijacking di oggetti COM per l’accesso persistente.

Mitigazione

Le organizzazioni dovrebbero implementare MFA resistente al phishing e consentire solo le applicazioni autorizzate per limitare l’installazione non autorizzata di software. I team di sicurezza dovrebbero monitorare creazioni insolite di servizi Windows, modifiche al pacchetto di autenticazione LSA e cambiamenti nel registro SafeMode. La formazione sulla consapevolezza degli utenti dovrebbe concentrarsi specificamente sulla verifica delle notifiche inattese dalle piattaforme di collaborazione.

Risposta

Dopo la rilevazione, le organizzazioni dovrebbero isolare gli endpoint colpiti per prevenire ulteriore movimento laterale. Eseguire una revisione forense per identificare e rimuovere tutti i meccanismi di persistenza, inclusi provider di credenziali personalizzati e oggetti COM. È altamente raccomandato un reset completo delle credenziali per tutti gli account utente impattati.

"flowchart TD step_initial_access["Accesso Iniziale: T1566.002 – Phishing: Link di spearphishing tramite notifiche Microsoft Teams impersonate"] step_drive_by["T1189 – Compromissione Drive-by tramite pagina di atterraggio fraudolenta che richiede il download di un installatore"] step_user_execution["Esecuzione Utente: T1204.002 – File Dannoso; coinvolge controlli di sistema (T1497.001) e ritardo di esecuzione (T1678)"] step_execution_injection["T1055 – Iniezione di Processo tramite registrazione di oggetti COM e uso di Strumenti di Accesso Remoto (T1219)"] rules_for_execution_injection("<b>Nome Regola</b>: Comando e Controllo Sospetto tramite Richiesta DNS di Dominio di Livello Superiore Insolito (TLD)<br/><b>ID Regola</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Persistenza: T1543.003 (Servizio Windows), T1547.002 (Avvio Automatico Boot/Logon) e T1546.015 (Hijacking COM)"] step_credential_access["Accesso alle Credenziali: T1556 – Modificazione del Processo di Autenticazione per intercettare le credenziali al login"] step_initial_access –>|porta_a| step_drive_by step_drive_by –>|porta_a| step_user_execution step_user_execution –>|porta_a| step_execution_injection step_execution_injection –>|porta_a| step_persistence step_persistence –>|porta_a| step_credential_access step_execution_injection -.->|rilevata_da| rules_for_execution_injection "

Flusso dell’Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTPs identificate e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.

  • Narrazione dell’Attacco e Comandi: L’avversario consegna un’email di phishing a tema Microsoft Teams contenente un link a un pacchetto .msi malevolo. Quando l’utente esegue il pacchetto, msiexec.exe viene invocato con parametri progettati per installare una backdoor nascosta. Per ottenere persistenza, l’installatore invoca rundll32.exe per caricare una DLL personalizzata che registra un nuovo servizio di sistema. La linea di comando include specificamente la stringa servizio per imitare il comportamento descritto nel rapporto di intelligence sulla minaccia, attivando così la regola di rilevamento.

  • Script di Test di Regressione:

    # Script di simulazione per attivare la regola di rilevamento
    # Obiettivo: Eseguire msiexec o rundll32 con 'servizio' nella linea di comando
    
    Write-Host "[+] Inizio Simulazione: Attivazione Rilevamento Servizio MSI/Rundll32" -ForegroundColor Cyan
    
    # Scenario 1: Attivazione tramite msiexec.exe
    Write-Host "[+] Scenario 1: Esecuzione di msiexec con parola chiave 'servizio'..." -ForegroundColor Yellow
    Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait
    
    # Scenario 2: Attivazione tramite rundll32.exe
    Write-Host "[+] Scenario 2: Esecuzione di rundll32.exe con parola chiave 'servizio'..." -ForegroundColor Yellow
    Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait
    
    Write-Host "[+] Simulazione Completa." -ForegroundColor Green
  • Comandi di Pulizia:

    # Nessuna modifica permanente è stata apportata dallo script di simulazione poiché ha utilizzato binari di sistema esistenti 
    # e argomenti non distruttivi. Nessuna pulizia richiesta.
    Write-Host "[+] Pulizia: Nessun artefatto creato." -ForegroundColor Cyan