Versiones afectadas, CVE asociado o Indicadores de Compromiso: General
Comunicado Oficial:
Sophos Managed Detection and Response (MDR) ha descubierto dos campañas de Ransomware distintas que explotan Microsoft Teams para obtener acceso no autorizado a organizaciones específicas.
Los actores de amenazas, identificados como STAC5143 y STAC5777, están aprovechando una configuración predeterminada de Microsoft Teams que permite a los usuarios externos iniciar chats o reuniones con usuarios internos.
¿Qué debes saber?
La metodología de ataque involucra varios tipos y enfoques para lograr una mayor sofisticación. Además de esto, los investigadores de Sophos notaron que los actores de amenazas emplean un enfoque de varios pasos:
Bombardeo de correo electrónico: los objetivos se ven abrumados con hasta 3000 correos electrónicos no deseados en menos de una hora.
Ingeniería social: haciéndose pasar por soporte de TI, los atacantes inician llamadas de Microsoft Teams a las víctimas.
Acceso remoto: los actores de amenazas guían a las víctimas para que instalen Microsoft Quick Assist o utilicen la función de control remoto incorporada de Teams.
Despliegue de malware: una vez que tienen el control, los atacantes ejecutan cargas útiles maliciosas.
Campaña STAC5143: La campaña STAC5143 es una sofisticada operación cibernética que emplea una variedad de herramientas y técnicas para infiltrarse y controlar los sistemas objetivo. En esencia, la campaña aprovecha los archivos Java Archive (JAR) junto con puertas traseras basadas en Python para establecer un punto de apoyo en las máquinas comprometidas.
Campaña STAC5777: La campaña STAC5777 es un ciberataque sofisticado que utiliza una combinación de software legítimo y componentes maliciosos para infiltrarse y persistir en los sistemas de destino.
Emplea una DLL maliciosa denominada winhttp.dll, que se carga de forma lateral mediante el ejecutable legítimo de Microsoft OneDriveStandaloneUpdater.exe. La campaña establece conexiones de comando y control (C2) mediante controladores de kit de herramientas OpenSSL sin firmar, lo que mejora su capacidad para evadir la detección.
Para mantener la persistencia, los atacantes modifican el registro de Windows y agregan entradas en “HKLM\SOFTWARE\TitanPlus” que especifican direcciones de servidor C2. Además, la campaña crea un servicio y un archivo .lnk para garantizar que permanezca activo en el sistema comprometido. Para el movimiento lateral, STAC5777 realiza un escaneo SMB, lo que le permite propagarse por las redes.
En un intento por deshabilitar las medidas de seguridad, el malware intenta desinstalar el software de seguridad y las soluciones de autenticación multifactor (MFA), lo que potencialmente deja los sistemas más vulnerables a una mayor explotación.
El malware utilizado en estas campañas puede hacer lo siguiente:
Recopilar detalles del sistema y del SO
Recopilar credenciales de usuario
Registrar pulsaciones de teclas mediante funciones de la API de Windows
Realizar descubrimientos de redes y movimientos laterales
Extraer datos confidenciales
Uno de sus componentes clave es la implementación de una versión ofuscada de RPivot, una herramienta de proxy SOCKS inverso que permite a los atacantes mantener un acceso oculto a la red de la víctima.
Para evadir aún más la detección, la campaña incorpora una función lambda para ofuscar el código, un método que recuerda a los utilizados por el notorio grupo de ciberdelincuencia FIN7. Finalmente, los operadores de STAC5143 establecen conexiones con sus servidores C2 a través del puerto 80, probablemente en un intento de mezclarse con el tráfico HTTP normal y eludir las medidas de seguridad comunes.
Recomendaciones
Los ataques por medio de Teams aprovechan una configuración predeterminada de la aplicación, por lo que el primer paso sería restringir el acceso externo. Las configuraciones que permiten llamadas y chats en Teams desde dominios externos deben deshabilitarse, a menos que sean estrictamente necesarias.
El bombardeo de correos electrónicos podría resolverse al implementar filtros de spam que detecten y bloqueen un intento de ataque por este medio. Otro paso fundamental es deshabilitar Quick Assist, la herramienta de soporte de Microsoft que permite que se establezca el control a distancia.
Si bien los ataques no se atribuyen a un actor malicioso en específico, su despliegue utiliza patrones similares FIN7, un grupo de rusos que ha efectuado fraudes financieros y delitos cibernéticos desde hace más de una década. Hace unos meses, expertos en ciberseguridad descubrieron que FIN7 alojaba generadores de IA maliciosos que infectaban equipos con supuestos deepfakes de famosas.
