El surgimiento repentino del malware “TeamSphantom” a principios de junio sacudió los distritos escolares y las corporaciones multinacionales por igual.
Mandeando como un complemento de los equipos de Microsoft de Microsoft, la amenaza armó las invitaciones de reuniones legítimas para dejar a un cargador de varias etapas que desvió Azure Ad Fresh Tokens y las cookies de sesión.
Dentro de cuarenta y ocho horas, la telemetría mostró actividad de sondeo en más de 24,000 puntos finales, mientras que las simulaciones del equipo rojo confirmaron la capacidad del malware para pivotar en los recursos de SharePoint y OneDrive.
A pesar de una ráfaga de anómalos gráficos, la API de la API ilumina los paneles de SoC, fue Dylan, de 13 años, celebrado por múltiples revelaciones responsables, que correlacionó el tráfico con una técnica de reemplazo de token previamente invisible.
Analistas de Microsoft pronto anotado El abuso distintivo de la campaña de los webhooks conversacionales para hacerse pasar por los administradores de inquilinos, validar los hallazgos de Dylan y desencadenar una ventana de derribo de emergencia. La cadena del atacante desde la invitación de phishing de lanza a la escalada de privilegios.
Las evaluaciones de impacto revelan la exfiltración selectiva de documentos patentados e historias de chat de equipos, intensificando las preocupaciones sobre la fuga de propiedad intelectual.
Las víctimas informaron que las entradas del calendario fantasma y los canales deshonestos, indicadores que permitieron a los equipos azules pivotar cazas hacia el manifiesto con hash del enchufe.
El breve breve de Dylan advierte que la extensibilidad de la interfaz, cuando se deja sin protegerse, se convierte en una superficie de ataque de alto impacto. Mientras que estas cosas mapea el bucle de repetición del adversario contra los pilares cerofils de Microsoft.
Al final de la semana, Microsoft revocó 187 certificados de firma de código comprometidos y una validación endurecida del lado del almacén.
Sin embargo, las variantes de gato de copia ya sondean nuevas capas de ofuscación, ilustrando qué tan rápido evoluciona las herramientas criminales.
Dylan, ahora el contribuyente más joven de los libros de jugadas de respuesta a la respuesta a MSRC, ha comenzado a coautoría de la lógica de detección que marca manifiestas complementarias no solicitadas, a prueba de que los ojos frescos pueden volcar paradigmas de inteligencia de amenazas arraigadas.
Mecanismo de infección
A diferencia de los goteros de la oficina cargados de macro, TeamSphantom incorpora su bote de arripador dentro de un bloque de aplicaciones codificadas en Base64 que el cliente de los equipos analiza al inicio.
El blob se expande a un cargador de PowerShell ofuscado que se ejecuta en modo de lenguaje restringido, recortando la visibilidad de AMSI. Una vez residente de la memoria, el cargador descifra su lista C2 por Xor-Ging cada byte con el propio GUID del inquilino, un truco astuto que derrota los indicadores estáticos.
Un módulo JavaScript de 38 líneas engancha el controlador de OnMessagereived para cosechar cookies de autenticación en tiempo real.
$ GUID = (Get-AzureAdTenantDetail) .Objectid $ AppCfg = Get-Content “$ Env: AppData \\ Microsoft \\ Teams \\ AppSettings.json” | Convertfrom-json $ bytes = (convert) :: fromBase64String ($ appcfg.bootstrap) $ decoded = -Join ($ bytes | % {$ _ -bxor ($ guía.tobyteArray () ($ _- 1)}) Invoke-expresion
El parche de Microsoft cierra la brecha de validación manifiesta, pero se insta a los defensores a monitorear los registros adicionales de todo el inquilino y buscar bucles XOR basados en GUID en bloques de guiones.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
