Una campaña malvertida que utiliza resultados patrocinados en la plataforma de búsqueda de Microsoft entregó una masilla armada que estableció persistencia, habilitó el control práctico del teclado y ejecutó Kerberoasting para dirigirse a las cuentas de servicio de Active Directory.
Según una investigación publicada por MDR SoC de LevelBlue y corroborada por Independent Research Tracking Oyster/Broomstick Backdoor Actividad vinculada a herramientas de administración troyanizadas distribuidas a través de anuncios de búsqueda y envenenamiento por SEO.
Los resultados de la búsqueda resaltan un enlace patrocinado para descargar masilla, ilustrando las tácticas malvertidas utilizadas en la campaña.
El SoC de LevelBlue recibió una alerta de alto riesgo de Sentinelone en USM en cualquier lugar, marcando una descarga sospechosa de masilla.
El análisis destacó el tráfico de salida de Pastty.exe a la infraestructura maliciosa, la creación sospechosa de DLL en %AppData %y %Temp %, persistencia de tareas programadas a través de RUNDLL32 DLLRegisterserver y actividad HOK que culminó en querberoasting.
A continuación, el activo estaba aislado, la cuenta se deshabilitó y se reconstruyeron las cadenas de ejecución. Esto reveló que el instalador falso había programado una tarea, “actualizador de seguridad”, para ejecutarse cada tres minutos, cargando una DLL maliciosa (TWAIN_96.DLL). Esta DLL luego dejó caer “Green.dll”, que se utilizó para el acceso al operador y el reconocimiento.
Masilla armada para explotar a Kerberos
Fake Putty con un certificado de firma de código anómalo ejecutado y creó una persistencia de tarea programada, invocando RunDLL32 con DllRregisterserver a intervalos de tres minutos.
La DLL de la primera etapa (TWAIN_96 (.) DLL) dejó caer una segunda etapa (verde (.) DLL) que inició una sola conexión 443 saliente y CMD (.) EXE para los comandos de descubrimiento consistentes con los TTP del operador de ransomware (NLTEST, Admins de dominio de grupo neto, nltest /dclist).
La telemetría de Sentinelone y las clasificaciones virustotales asignaron las DLL a la familia Oyster/Broomstick Backdoor conocida por C2 codificado, persistencia de tareas programadas y ejecución de comandos remotos.
La acción final registrada fue un script en línea de PowerShell que realizaba kerberoasting, solicitando boletos de TGS para cuentas con SPN y aprovechando RC4-HMAC débil si la aplicación de AES estaba ausente, luego extrayendo bytes de boletos en memoria para emitir $ KRB5TGS $ Material (modo 13100).
PowerShell Script que muestra un bypass de ejecución de comando diseñado para kerberoasting
El guión tomó prestado de los patrones de Invoke-Berberoast, ejecutó completamente en memoria sin escrituras de disco y fue validado a través de eventos USM en cualquier lugar que muestran boletos de servicio Kerberos cifrados RC4-HMAC (ID de evento 4769). Esto permitió el agrietamiento fuera de línea de las credenciales de la cuenta de servicio para la escalada de privilegios y el movimiento lateral contra los servicios publicitarios.
Nivelado trazó el El acceso inicial a los resultados patrocinados por maliciosos esgumentar la masilla (.) Org y la redireccionamiento a los dominios tipográficos como Puttyy (.) Org y PuttySystems (.) Com que entregó el instalador troyano, con el alojamiento de carga útil observada a través de HeartlandEnergy (.) AI y un script de cargadores giratorios en la red (.
El equipo de MDR observó hash de carga útil variante, múltiples certificados de firma de código (incluido New Vision Marketing LLC) para evadir las detecciones basadas en el hash/firmante y los nombres alternativos de tareas programadas como “Firefox Agent Inc” en muestras con caja de arena.
Esta actividad se alinea con tendencias de envenenamiento de malvertición/SEO más amplias 2024–2025 que entregan masilla troyana/winscp y ostra/escoba, según lo informado por Rapid7 y el lobo ártico.
Aquí hay una tabla consolidada de los COI informados de la investigación de niveles nivelados sobre masilla armada malvertida atada a la puerta trasera de ostras/escobas; Agregue estos a las listas de bloques y las tuberías de detección para una contención rápida. Las entradas a continuación reflejan los indicadores documentados por LevelBlue y alineados informes de código abierto sobre la misma campaña.
A continuación se muestra la tabla COI consolidada que combina dominios, hashes, firmantes, IPS, URL y tareas programadas vinculadas a la actividad malvertida de masilla/ostras armadas. Use estos indicadores para listas de bloques, cacería retro y contenido de detección.
TypeIndicatorContext/NotesDomaInputTyy (.) Orgtyposquat utilizado para entregar instaladores de masilla troyanizados. DomainputTySystems (.) Commalvertising Landing utilizado para hacer sonar la descarga de masilla. Registro.DomaInputTyy (.) Comtyposquat vinculado a la infraestructura de entrega. Domainputty (.) RunCampaign-Domain Registration.DomaInputty (.) LatCampaign-Domain Registration.DomaInputty (.) EE. UU. Masilla. ”.” Domainputty (.) Miradores giratorios de la página del cargador de redes a través de JS para cheques de carga útil.domainruben.findinit (.) Comcompromised WordPress Sitio utilizado para servir la carga de pago.domainekeitoro.siteInwp (.) Comcompromised WordPress Sitio utilizado para servir a las cargas. DomainDanielaurel (.) (Sha256) 0B85AD058AA224D0B66AC7FDC4F3B71145AEDE462068CC9708EC2CEE7C5717D4MALIZADO PUTTY/MUESTRA RELACIONADA CON LOS (SHA256) E9F05410293F97F20D528F1A4DEDDC5E95049FF1B0EC9DE4BF3FD7F5B8687569 MALATICIENTE PUTTY/SUPERIZACIÓN RELACIONADA (SHA256) D73BCB2B67AEBBB19FF26A840D3380797463133C2C8F61754020794D31A9197D1MALIZADO PUTTY/OSTER RELACIONADO. HASHIL (Sha256) DD995934BDAB89CA6941633DEA1EF6E6D9C3982AF5B454ECB0A6C440032B30FBBMALIZADO PUTTY/OSTER RELADA. (SHA256) 03012E22602837132C4611CAC749DE39FB1057A8DEAD227594D4D4F6FB9615522 Muestra de masilla/ostras. ) (SHA256) E02D21A83C41C15270A854C005C4B5DFB94C2DDC03BB4266AA67FC0486E5DD35 Muestra de Putty/Oyster. (SHA256) 80C8A6ECD5619D137AA57DDF252AB5DC9044266FCA87F3E90C5B7F3664C5142FMALICIOS (SHA256) 1112B72F47B7D09835C276C412C83D89B072B2F0FB25A0C9E2FED7CF08B55A41 Muestra de Putty/Oyster. (SHA256) 3D22A974677164D6BD7166E521E96D07CD00C884B0AEACB5555555C6A62A1C26 Muestra de Putty/Oyster. (SHA256) E8E9F0DA26A3D6729E744A6EA566C4FD4E372CEB4B2E7FC01D08844BFC5C3ABBMALICIOS (Sha256) EEF6D4B6BDF48A605CADE0B517D5A51FC4F4570E505F3D8B9B66158902DCD4AFMALA LLCANOMALOUS Signer en Fake Putty (.) Exe observado. Certificado de archivo de archivos en muestras maliciosas. Certificado de fortuna fortunaabused en muestras maliciosas. muestras.ip45.86.230 (.) 77C2/Registro/puntos finales de inicio de sesión observados. IP185.208.159 (.) 119 host de API malicioso observado en Activity.IP144.217.207 (.) 26Outbound 443 Connection (Green.dll) .IP85.239.52 (.) 99malicio Actividad (Defanjed) Hxxp (: 🙂 // 185.208.158 (.) 119/API/KCEHCMALICIOSO API PATH.URL (Defanged) Hxxp (:) // 45.86.230 (.) 77: 443/Regc2 Registro. (Defanged) Hxxp (::) // 45.86.230 (.) 77: 443/loginc2 Login Endpoint.Url (Defanged) Hxxp (:) // 85.239.52 (.) 99/API/JGFNSFNUFCCNEGFNEHJBFNCEJFHMALICIUD API. (Defanged) hxxp (: 🙂 // 85.239.52 (.) 99/api/kcehcmalicious api rath.url (defanged) hxxp (:) // 194.213.18 (.) 89: 443/regc2 registro de punto.url (defanged) hxxp (:) // 194.213.13. () 89: 443/login COMENTAR PUNTO DE COMENCIÓN. Tasksecurity Security UpdaterPersistencia a través de RunDll32 DllRegisterserver a intervalos de 3 minutos. Agente de tareas scheduled Incalternate Nombre de la tarea visto en muestras de caja de arena.
Las recomendaciones incluyen bloquear los dominios identificados, hacer cumplir AES para Kerberos en cuentas SPN, credenciales rotativas para SPN afectados y restringir la adquisición de software a repositorios examinados y sitios oficiales de proveedores.
Los equipos de seguridad deben implementar detecciones personalizadas para el uso indebido DllRegisterserver de RunDLL32, las tareas programadas recurrentes de tres minutos, los patrones de querberoasting en memoria y las correlaciones de la historia que vinculan las herramientas de administración falsas con las caídas de DLL y CMD. () Exe Reconnaissance.
La capacitación continua de los usuarios para el personal privilegiado y la caza rápida de amenazas lideradas por MDR en las flotas pueden reducir el tiempo de permanencia y las rutas de escalada de robo a ransomware.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
