0
0
A Microsoft adverte que os cibercriminosos estão usando o Cobalt Strike para infectar redes inteiras além do ponto de infecção, de acordo com um relatório.
Os atacantes estão usando anúncios para falsas atualizações do Microsoft Teams para implantar backdoors, que usam o Cobalt Strike para infectar as redes das empresas com malware.
A Microsoft está alertando seus clientes sobre as chamadas campanhas “FakeUpdates” em um aviso de segurança não pública, de acordo com um relatório no Bleeping Computer. A campanha tem como alvo vários tipos de empresas, com alvos recentes no setor educacional K-12, onde as organizações atualmente dependem do uso de aplicativos como equipes para videoconferência devido às restrições do COVID-19.
O Cobalt Strike é uma ferramenta de simulação de ataque de commodities que é usada pelos atacantes para espalhar malware, particularmente ransomware. Recentemente, atores de ameaças foram vistos usando o Cobalt Strike em ataques explorando o Zerologon, uma falha de elevação de privilégios que permite aos atacantes acessar um controlador de domínio e comprometer completamente todos os serviços de identidade do Active Directory.
No comunicado, a Microsoft disse que viu os atacantes na mais recente campanha FakeUpdates usando anúncios de mecanismos de busca para empurrar os principais resultados para o software Teams para um domínio que eles controlam e usam para atividades nefastas, de acordo com o relatório. Se as vítimas clicarem no link, ela baixa uma carga útil que executa um script PowerShell, que carrega conteúdo malicioso.
Os faróis cobalto strike estão entre as cargas que também estão sendo distribuídas pela campanha, que dão aos atores de ameaças a capacidade de se mover lateralmente através de uma rede além do sistema inicial de infecção, de acordo com o relatório. O link também instala uma cópia válida do Microsoft Teams no sistema para parecer legítimo e evitar alertar as vítimas para o ataque.
Os malwares distribuídos pela campanha incluem o infostealer Predator the Thief, que rouba dados confidenciais, como credenciais, navegador e dados de pagamento, de acordo com a assessoria. A Microsoft também viu o backdoor bladabindi (NJRat) e o ladrão ZLoader sendo distribuídos pelas últimas campanhas, de acordo com o relatório.
Além das campanhas fakeupdates que usam as iscas do Microsoft Teams, a gigante da tecnologia também viu padrões de ataque semelhantes em pelo menos seis outras campanhas com variações do mesmo tema, sugerindo um ataque mais amplo pelos mesmos atores de ameaça, de acordo com o relatório. Em outro caso, por exemplo, os atacantes usaram o serviço de encurtamento de URL IP Logger, alertou a Microsoft.
A Microsoft ofereceu uma série de técnicas de mitigação para a última onda de ataques do FakeUpdates. A empresa está recomendando que as pessoas usem navegadores da Web que possam filtrar e bloquear sites maliciosos e garantir que as senhas de administração locais sejam fortes e não possam ser facilmente adivinhadas.
Os privilégios administrativos também devem ser limitados a usuários essenciais e evitar contas de serviço em todo o domínio que têm as mesmas permissões de um administrador, de acordo com o relatório.
As organizações também podem limitar sua superfície de ataque para manter os invasores à distância bloqueando arquivos executáveis que não atendem a critérios específicos ou bloqueando o código JavaScript e VBScript de baixar conteúdo executável, informou a Microsoft.
FONTE: THREATPOST