Los cazadores de amenazas han llamado la atención sobre una nueva campaña en la que los malos actores se hicieron pasar por soporte de TI falso para ofrecer el marco de comando y control (C2) de Havoc como precursor de la exfiltración de datos o el ataque de ransomware.
Las intrusiones, identificadas por Huntress el mes pasado en cinco organizaciones asociadas, involucraron a los actores de amenazas que utilizaron spam de correo electrónico como señuelo, seguido de una llamada telefónica desde un departamento de TI que activa un canal de entrega de malware en capas.
«En una organización, el adversario pasó del acceso inicial a nueve puntos finales adicionales en el transcurso de once horas, implementando una combinación de cargas útiles personalizadas de Havoc Demon y herramientas RMM legítimas para la persistencia, con la velocidad del movimiento lateral sugiriendo fuertemente que el objetivo final era la exfiltración de datos, el ransomware o ambos», dijeron los investigadores Michael Tigges, Anna Pham y Bryan Masters.
Vale la pena señalar que el modus operandi es consistente con el bombardeo de correo electrónico y los ataques de phishing de Microsoft Teams orquestados por actores de amenazas asociados con la operación de ransomware Black Basta en el pasado. Si bien el grupo de delitos cibernéticos parece haber guardado silencio luego de una filtración pública de sus registros de chat internos el año pasado, la presencia continua del manual del grupo sugiere dos escenarios posibles.
Una posibilidad es que los antiguos afiliados de Black Basta hayan pasado a otras operaciones de ransomware y las estén utilizando para montar nuevos ataques, o que dos actores de amenazas rivales hayan adoptado la misma estrategia para realizar ingeniería social y obtener acceso inicial.
La cadena de ataque comienza con una campaña de spam cuyo objetivo es saturar las bandejas de entrada del objetivo con correos electrónicos no deseados. En el siguiente paso, los actores de la amenaza, haciéndose pasar por soporte de TI, contactan a los destinatarios y los engañan para que les otorguen acceso remoto a sus máquinas, ya sea a través de una sesión de Quick Assist o instalando herramientas como AnyDesk para ayudar a solucionar el problema.
Con el acceso implementado, el adversario no pierde tiempo en iniciar el navegador web y navegar a una página de destino falsa alojada en Amazon Web Services (AWS) que se hace pasar por Microsoft e indica a la víctima que ingrese su dirección de correo electrónico para acceder al sistema de actualización de reglas antispam de Outlook y actualizar las reglas de spam.
Al hacer clic en un botón para «Actualizar configuración de reglas» en la página falsificada se activa la ejecución de un script que muestra una superposición que solicita al usuario que ingrese su contraseña.
«Este mecanismo tiene dos propósitos: permite que el actor de amenazas (TA) recopile credenciales que, cuando se combinan con la dirección de correo electrónico requerida, proporciona acceso al panel de control; al mismo tiempo, agrega una capa de autenticidad a la interacción, convenciendo al usuario de que el proceso es genuino», dijo Huntress.
El ataque también depende de la descarga del supuesto parche antispam, que, a su vez, conduce a la ejecución de un binario legítimo llamado «ADNotificationManager.exe» (o «DLPUserAgent.exe» y «Werfault.exe») para descargar una DLL maliciosa. La carga útil de DLL implementa la evasión de defensa y ejecuta la carga útil del código shell Havoc generando un hilo que contiene el agente Demon.
Al menos una de las DLL identificadas («vcruntime140_1.dll») incorpora trucos adicionales para eludir la detección mediante software de seguridad mediante ofuscación del flujo de control, bucles de retardo basados en tiempos y técnicas como Hell’s Gate y Halo’s Gate para conectar funciones ntdll.dll y evitar soluciones de detección y respuesta de puntos finales (EDR).
«Tras el despliegue exitoso del Havoc Demon en la cabeza de playa, los actores de la amenaza comenzaron a moverse lateralmente a través del entorno de la víctima», dijeron los investigadores. «Si bien la ingeniería social inicial y la entrega de malware demostraron algunas técnicas interesantes, la actividad práctica en el teclado que siguió fue comparativamente sencilla».
Esto incluye la creación de tareas programadas para iniciar la carga útil de Havoc Demon cada vez que se reinician los puntos finales infectados, proporcionando a los actores de amenazas un acceso remoto persistente. Dicho esto, se ha descubierto que el actor de amenazas implementa herramientas legítimas de administración y monitoreo remoto (RMM) como Level RMM y XEOX en algunos hosts comprometidos en lugar de Havoc, diversificando así sus mecanismos de persistencia.
Algunas conclusiones importantes de estos ataques son que los actores de amenazas están más que felices de hacerse pasar por personal de TI y llamar a números de teléfono personales si eso mejora la tasa de éxito, técnicas como la evasión de defensa que alguna vez se limitaron a ataques a grandes empresas o campañas patrocinadas por estados se están volviendo cada vez más comunes, y el malware básico se personaliza para eludir firmas basadas en patrones.
También es de destacar la velocidad a la que los ataques progresan rápida y agresivamente desde el compromiso inicial hasta el movimiento lateral, así como los numerosos métodos utilizados para mantener la persistencia.
«Lo que comienza como una llamada telefónica de ‘soporte de TI’ termina con un compromiso de red totalmente instrumentado: Havoc Demons modificados implementados en los puntos finales, herramientas RMM legítimas reutilizadas como persistencia de respaldo», concluyó Huntress. «Esta campaña es un estudio de caso sobre cómo los adversarios modernos superponen la sofisticación en cada etapa: ingeniería social para entrar por la puerta, descarga de DLL para permanecer invisible y persistencia diversificada para sobrevivir a la remediación».