🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O corretor de acesso inicial KongTuke mudou para o Microsoft Teams para ataques de engenharia social, levando apenas cinco minutos para obter acesso persistente às redes corporativas.
O agente da ameaça engana os usuários para que colem um comando do PowerShell que, em última análise, entrega o ModeloRAT, que foi visto anteriormente em ataques ClickFix [1, 2].
Corretores de acesso inicial (IAB), como o KongTuke, normalmente vendem acesso à rede da empresa para operadores de ransomware, que o utilizam para implantar malware de roubo de arquivos e criptografia de dados.
Os cibercriminosos têm adotado cada vez mais o Microsoft Teams em ataques, alcançando funcionários de empresas e fingindo ser funcionários de TI e de suporte técnico.
As vítimas são convencidas a executar um comando malicioso do PowerShell em seus sistemas, que implanta o malware “ModeloRAT”.
O comando do PowerShell usado nos ataques observadosFonte: ReliaQuest
Os pesquisadores da ReliaQuest observaram essa atividade e dizem que é uma mudança de tática para KongTuke, que anteriormente dependia apenas de iscas “FileFix” e “CrashFix” baseadas na web.
“Esta atividade do Teams, que parece complementar, em vez de substituir, essa abordagem baseada na web, marca a primeira vez que vimos o KongTuke usar uma plataforma de colaboração para acesso inicial”, explica ReliaQuest.
“Nos incidentes que investigamos, um único bate-papo externo do Teams moveu o operador de uma abordagem fria para uma posição persistente em menos de cinco minutos.”
A campanha está ativa pelo menos desde abril de 2026, com KongTuke alternando entre cinco locatários do Microsoft 365 para evitar o bloqueio, dizem os pesquisadores.
Para se passar por equipe interna de suporte de TI, o invasor usa truques de espaço em branco Unicode para fazer o nome de exibição parecer legítimo.
O comando malicioso do PowerShell compartilhado por meio do Teams baixa um arquivo ZIP do Dropbox que contém um ambiente WinPython portátil, que eventualmente lança o malware baseado em Python, ModeloRAT (Pmanager.py).
O malware coleta informações do sistema e do usuário, captura capturas de tela e pode exfiltrar arquivos do sistema de arquivos host.
A ReliaQuest observa que a versão ModeloRAT utilizada nesta campanha recente evoluiu em comparação com o que foi visto nas operações anteriores, principalmente de três maneiras:
Uma arquitetura C2 mais resiliente com um pool de cinco servidores, failover automático, caminhos de URL aleatórios e capacidade de autoatualização.
Vários caminhos de acesso independentes, incluindo um RAT primário, um shell reverso e um backdoor TCP, executados em infraestrutura separada para preservar o acesso se um canal for interrompido.
Mecanismos de persistência expandidos usando teclas Run, atalhos de inicialização, inicializadores VBScript e tarefas agendadas em nível de SYSTEM que podem sobreviver a procedimentos de limpeza padrão.
Os pesquisadores observam que a tarefa agendada não é removida pela rotina de autodestruição do implante, que apaga os outros mecanismos de persistência, e pode persistir durante as reinicializações do sistema.
A tarefa agendada persistenteFonte: ReliaQuest
Para se defender contra ataques iniciados pelo Team, é recomendável restringir a federação externa do Microsoft Teams usando listas de permissões para bloquear essas tentativas no início.
Além disso, os administradores podem usar os indicadores de comprometimento disponíveis no relatório da ReliaQuest para procurar ataques, sinais de comprometimento e artefatos de persistência.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O agente da ameaça engana os usuários para que colem um comando do PowerShell que, em última análise, entrega o ModeloRAT, que foi visto anteriormente em ataques ClickFix [1, 2].
Corretores de acesso inicial (IAB), como o KongTuke, normalmente vendem acesso à rede da empresa para operadores de ransomware, que o utilizam para implantar malware de roubo de arquivos e criptografia de dados.
Os cibercriminosos têm adotado cada vez mais o Microsoft Teams em ataques, alcançando funcionários de empresas e fingindo ser funcionários de TI e de suporte técnico.
As vítimas são convencidas a executar um comando malicioso do PowerShell em seus sistemas, que implanta o malware “ModeloRAT”.
O comando do PowerShell usado nos ataques observadosFonte: ReliaQuest
Os pesquisadores da ReliaQuest observaram essa atividade e dizem que é uma mudança de tática para KongTuke, que anteriormente dependia apenas de iscas “FileFix” e “CrashFix” baseadas na web.
“Esta atividade do Teams, que parece complementar, em vez de substituir, essa abordagem baseada na web, marca a primeira vez que vimos o KongTuke usar uma plataforma de colaboração para acesso inicial”, explica ReliaQuest.
“Nos incidentes que investigamos, um único bate-papo externo do Teams moveu o operador de uma abordagem fria para uma posição persistente em menos de cinco minutos.”
A campanha está ativa pelo menos desde abril de 2026, com KongTuke alternando entre cinco locatários do Microsoft 365 para evitar o bloqueio, dizem os pesquisadores.
Para se passar por equipe interna de suporte de TI, o invasor usa truques de espaço em branco Unicode para fazer o nome de exibição parecer legítimo.
O comando malicioso do PowerShell compartilhado por meio do Teams baixa um arquivo ZIP do Dropbox que contém um ambiente WinPython portátil, que eventualmente lança o malware baseado em Python, ModeloRAT (Pmanager.py).
O malware coleta informações do sistema e do usuário, captura capturas de tela e pode exfiltrar arquivos do sistema de arquivos host.
A ReliaQuest observa que a versão ModeloRAT utilizada nesta campanha recente evoluiu em comparação com o que foi visto nas operações anteriores, principalmente de três maneiras:
Uma arquitetura C2 mais resiliente com um pool de cinco servidores, failover automático, caminhos de URL aleatórios e capacidade de autoatualização.
Vários caminhos de acesso independentes, incluindo um RAT primário, um shell reverso e um backdoor TCP, executados em infraestrutura separada para preservar o acesso se um canal for interrompido.
Mecanismos de persistência expandidos usando teclas Run, atalhos de inicialização, inicializadores VBScript e tarefas agendadas em nível de SYSTEM que podem sobreviver a procedimentos de limpeza padrão.
Os pesquisadores observam que a tarefa agendada não é removida pela rotina de autodestruição do implante, que apaga os outros mecanismos de persistência, e pode persistir durante as reinicializações do sistema.
A tarefa agendada persistenteFonte: ReliaQuest
Para se defender contra ataques iniciados pelo Team, é recomendável restringir a federação externa do Microsoft Teams usando listas de permissões para bloquear essas tentativas no início.
Além disso, os administradores podem usar os indicadores de comprometimento disponíveis no relatório da ReliaQuest para procurar ataques, sinais de comprometimento e artefatos de persistência.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #os #hackers #do #kongtuke #agora #usam #o #microsoft #teams #para #violações #corporativas
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário