Un incidente reciente descubrió cómo un actor de amenaza expuso inadvertidamente todo su flujo de trabajo operativo al instalar un agente popular de detección y respuesta de punto final (EDR) en su propia infraestructura de ataque.
El escenario se desarrolló cuando el adversario, al evaluar varias plataformas de seguridad, activó alertas que llevaron a los analistas de cazadores a investigar datos de telemetría inusuales.
Observaciones iniciales de la actividad del sistema y la historia del navegador insinuaron los esfuerzos de reconocimiento sofisticados, lo que lleva a los investigadores a profundizar en los artefactos recopilados por el sistema EDR.
A las pocas horas del despliegue, el agente registró una variedad de interacciones indicativas de intención maliciosa.
Analistas de cazadores anotado que el identificador de máquina único había aparecido en investigaciones previas de compromiso, marcando inmediatamente al host como adversario.
La correlación posterior de los registros de autenticación y los datos de telemetría revelaron patrones de robo de credenciales, actualizaciones de token de sesión y ejecución automatizada de herramientas.
Los investigadores identificaron intentos de acceder a tokens de sesión rotados y encontraron evidencia de campañas de phishing automatizadas orquestadas a través de guiones a medida.
El impacto de esta instalación accidental no puede ser exagerada. Por primera vez, los defensores ganaron visibilidad granular en las rutinas diarias de un operador de amenaza en vivo, desde el reconocimiento hasta la explotación activa.
Buscar en Google para Bitdefender, que lleva a un anuncio de Huntress (fuente – cazante)
El día del actor de amenaza generalmente comenzó con escaneo externo pasivo, luego en la transición a la explotación específica de las organizaciones identificadas.
Las entradas detalladas del historial del navegador mostraron un uso extenso de servicios públicos y basados en suscripción para reconocimiento, así como el despliegue de servicios de poder residenciales para anonimizar el tráfico y evadir la detección.
En el transcurso de un período de tres meses, la telemetría EDR capturó una evolución clara en el flujo de trabajo del atacante.
Las primeras actividades se centraron en investigar instituciones bancarias y proveedores de terceros, mientras que las etapas posteriores revelaron la adopción de flujos de trabajo automatizados para la generación de mensajes de phishing.
Línea de tiempo (fuente – cazadora)
Los investigadores de Huntress identificaron un cambio gradual hacia un uso más programático de herramientas, con las tareas repetitivas de secuencias de comandos adversas para aumentar la eficiencia operativa.
Mecanismo de infección y tácticas de persistencia
Una mirada más profunda hacia el mecanismo de infección descubre cómo el actor de amenaza logró el acceso inicial y mantuvo un punto de apoyo dentro de los entornos objetivo.
Flujos de trabajo automatizados (fuente – cazadora)
El adversario aprovechó las cookies de sesión robadas extraídas de los archivos de cookies de escritorio Telegram utilizando un simple script de Python. El script, ejecutado a través de:-
Desde Roadtx Import prtauth auth = Prtauth (token_file = “victim_cookie.json”) session = auth.acquire () imprime (sesión)
Esto revela cómo el atacante automatizó la extracción de token de actualización primaria para los servicios de Microsoft Entra y Office 365.
Una vez que se obtuvieron tokens válidos, se usaron para autenticarse en cuentas de víctimas sin activar la autenticación multifactorial o alertar a las defensas de punto final.
La persistencia se logró implementando tareas programadas que renovaban regularmente los tokens de sesión y ejecutaban scripts de reconocimiento. Estas tareas se registraron en el programador de tareas de Windows bajo nombres discretos para combinar con procesos legítimos.
Varias herramientas que el atacante puede haber usado (fuente – cazadora)
Los analistas de Huntress identificaron estas entradas y observaron conexiones de salida periódicas con los servidores C2 controlados por los atacantes, confirmando el control continuo.
Esta rara visibilidad del comportamiento del actor de amenaza del mundo real proporcionó ideas invaluables para los defensores. Al diseccionar las técnicas de infección y persistencia, los equipos de seguridad pueden crear reglas de detección específicas y endurecer los flujos de trabajo de autenticación contra ataques similares basados en token.
La colaboración entre el análisis basado en la telemetría y la revisión de artefactos manuales subraya la importancia de las soluciones EDR integrales en las operaciones de seguridad modernas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
