🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft está alertando sobre os atores de ameaças que abusam cada vez mais da colaboração externa do Microsoft Teams e dependem de ferramentas legítimas para acesso e movimentação lateral em redes corporativas.
Os hackers se fazem passar pela equipe de TI ou de suporte técnico para entrar em contato com os funcionários por meio de bate-papos entre locatários e induzi-los a fornecer acesso remoto para fins de roubo de dados.
A Microsoft observou várias invasões com uma cadeia de ataque semelhante que usou software comercial de gerenciamento remoto, como o Quick Assist, e o utilitário Rclone para transferir arquivos para um serviço externo de armazenamento em nuvem.
A gigante da tecnologia observa que é difícil discernir atividades maliciosas subsequentes das operações normais devido ao uso intenso de aplicativos legítimos e protocolos administrativos nativos.
“Os atores de ameaças estão cada vez mais abusando da colaboração externa do Microsoft Teams para se passar por pessoal de TI ou de suporte técnico e convencer os usuários a conceder acesso de assistência remota”, diz a Microsoft.
“A partir dessa posição inicial, os invasores podem aproveitar ferramentas confiáveis e protocolos administrativos nativos para se moverem lateralmente pela empresa e preparar dados confidenciais para exfiltração – muitas vezes combinando-se com atividades rotineiras de suporte de TI durante todo o ciclo de vida da intrusão”, acrescentou a empresa.
Ataque em vários estágios
Em um relatório recente, a Microsoft descreve uma cadeia de ataque de nove estágios que começa com o agente da ameaça entrando em contato com o alvo por meio de um bate-papo externo do Teams, se passando por membro da equipe de TI da empresa e alegando que precisa resolver um problema de conta ou realizar uma atualização de segurança.
O objetivo é convencer o alvo a iniciar uma sessão de suporte remoto, geralmente via Quick Assist, que dá ao invasor o controle direto da máquina do funcionário.
Mensagem maliciosa enviada aos alvosFonte: Microsoft
A partir daí, o invasor realiza um reconhecimento rápido usando o prompt de comando e o PowerShell, verificando privilégios, participação no domínio e acessibilidade da rede para avaliar o potencial de movimento lateral.
Em seguida, eles colocam um pequeno pacote de carga útil em locais graváveis pelo usuário, como ProgramData, e executam o código malicioso por meio de um aplicativo confiável e assinado (por exemplo, Autodesk, Adobe Acrobat/Reader, Windows Error Reporting, software de prevenção de perda de dados) por meio de carregamento lateral de DLL.
A comunicação baseada em HTTPS para o comando e controle (C2) estabelecida desta forma se mistura ao tráfego de saída normal, tornando-a mais difícil de detectar.
Com a infecção estabelecida e a persistência garantida por meio de modificações no Registro do Windows, o invasor passa a abusar do Gerenciamento Remoto do Windows (WinRM) para se mover lateralmente pela rede, visando sistemas associados ao domínio e ativos de alto valor, como controladores de domínio.
Em seguida, eles implantam ferramentas adicionais de software de gerenciamento remoto em sistemas acessíveis e usam Rclone ou ferramentas semelhantes para coletar e exfiltrar dados confidenciais para pontos externos de armazenamento em nuvem.
Estágios de ataqueFonte: Microsoft
A Microsoft observa que esta etapa de exfiltração é bastante direcionada, empregando filtros para focar apenas em informações valiosas, reduzir o volume de transferência e melhorar a furtividade operacional.
A Microsoft lembra aos usuários que tratem os contatos externos do Teams como não confiáveis por padrão e recomenda que os administradores restrinjam ou monitorem de perto as ferramentas de assistência remota e limitem o uso do WinRM a sistemas controlados.
Além disso, a empresa chama a atenção para os avisos de segurança do Teams que sinalizam explicitamente comunicações de pessoas de fora da organização e possíveis tentativas de phishing.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Os hackers se fazem passar pela equipe de TI ou de suporte técnico para entrar em contato com os funcionários por meio de bate-papos entre locatários e induzi-los a fornecer acesso remoto para fins de roubo de dados.
A Microsoft observou várias invasões com uma cadeia de ataque semelhante que usou software comercial de gerenciamento remoto, como o Quick Assist, e o utilitário Rclone para transferir arquivos para um serviço externo de armazenamento em nuvem.
A gigante da tecnologia observa que é difícil discernir atividades maliciosas subsequentes das operações normais devido ao uso intenso de aplicativos legítimos e protocolos administrativos nativos.
“Os atores de ameaças estão cada vez mais abusando da colaboração externa do Microsoft Teams para se passar por pessoal de TI ou de suporte técnico e convencer os usuários a conceder acesso de assistência remota”, diz a Microsoft.
“A partir dessa posição inicial, os invasores podem aproveitar ferramentas confiáveis e protocolos administrativos nativos para se moverem lateralmente pela empresa e preparar dados confidenciais para exfiltração – muitas vezes combinando-se com atividades rotineiras de suporte de TI durante todo o ciclo de vida da intrusão”, acrescentou a empresa.
Ataque em vários estágios
Em um relatório recente, a Microsoft descreve uma cadeia de ataque de nove estágios que começa com o agente da ameaça entrando em contato com o alvo por meio de um bate-papo externo do Teams, se passando por membro da equipe de TI da empresa e alegando que precisa resolver um problema de conta ou realizar uma atualização de segurança.
O objetivo é convencer o alvo a iniciar uma sessão de suporte remoto, geralmente via Quick Assist, que dá ao invasor o controle direto da máquina do funcionário.
Mensagem maliciosa enviada aos alvosFonte: Microsoft
A partir daí, o invasor realiza um reconhecimento rápido usando o prompt de comando e o PowerShell, verificando privilégios, participação no domínio e acessibilidade da rede para avaliar o potencial de movimento lateral.
Em seguida, eles colocam um pequeno pacote de carga útil em locais graváveis pelo usuário, como ProgramData, e executam o código malicioso por meio de um aplicativo confiável e assinado (por exemplo, Autodesk, Adobe Acrobat/Reader, Windows Error Reporting, software de prevenção de perda de dados) por meio de carregamento lateral de DLL.
A comunicação baseada em HTTPS para o comando e controle (C2) estabelecida desta forma se mistura ao tráfego de saída normal, tornando-a mais difícil de detectar.
Com a infecção estabelecida e a persistência garantida por meio de modificações no Registro do Windows, o invasor passa a abusar do Gerenciamento Remoto do Windows (WinRM) para se mover lateralmente pela rede, visando sistemas associados ao domínio e ativos de alto valor, como controladores de domínio.
Em seguida, eles implantam ferramentas adicionais de software de gerenciamento remoto em sistemas acessíveis e usam Rclone ou ferramentas semelhantes para coletar e exfiltrar dados confidenciais para pontos externos de armazenamento em nuvem.
Estágios de ataqueFonte: Microsoft
A Microsoft observa que esta etapa de exfiltração é bastante direcionada, empregando filtros para focar apenas em informações valiosas, reduzir o volume de transferência e melhorar a furtividade operacional.
A Microsoft lembra aos usuários que tratem os contatos externos do Teams como não confiáveis por padrão e recomenda que os administradores restrinjam ou monitorem de perto as ferramentas de assistência remota e limitem o uso do WinRM a sistemas controlados.
Além disso, a empresa chama a atenção para os avisos de segurança do Teams que sinalizam explicitamente comunicações de pessoas de fora da organização e possíveis tentativas de phishing.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #microsoft: #equipes #cada #vez #mais #abusadas #em #ataques #de #representação #de #helpdesk
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário