TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Acceso al Active Directory de la organización.

Descripción

Un análisis realizado por una firma de ciberseguridad ha identificado un nuevo ataque de phishing dirigido a ejecutivos de diferentes organizaciones de Estados Unidos, el cual tiene como objetivo obtener las credenciales de acceso del inicio de sesión del Directorio Activo (AD) de las organizaciones.

El ataque comienza cuando la víctima recibe en su correo institucional un mensaje especialmente diseñado para llamar su atención, el cual, aparenta ser un informe financiero interno con un archivo adjunto, que simula ser un documento en texto plano con extensión “txt”. Según las investigaciones, el mensaje ha sido enviado desde el servicio de correo electrónico de Amazon, sin embargo, este parece que se genera por medio de un kit de herramientas personalizable.

Al momento de abrir el archivo adjunto, se redirige a la victima a un inicio de sesión parecido al de Office 365, sin embargo, en esta página el nombre de usuario se ha introducido previamente, además, aparece el siguiente mensaje en inglés: “Debido a que usted está accediendo a información confidencial, necesita verificar su contraseña”.

Una vez que el usuario ingresa la contraseña, el atacante utiliza la API de Office 365 para validar que las credenciales correspondan al acceso del AD, y después redirige al usuario a la página web de la plataforma de videoconferencias “Zoom”, sin embargo, si la autenticación en el AD falla manda al usuario a la página de inicio de sesión de “Microsoft Online”. Posteriormente, el sitio Web envía las credenciales del AD a un servidor controlado por el atacante e inmediatamente se realiza una conexión al AD de la organización.

Finalmente, si el ataque es exitoso el atacante podrá tener acceso a la red de la organización y así realizar otras actividades maliciosas.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • Microsoft Active Directory.

Indicadores de compromiso (IoCs)

A continuación se listan los Indicadores de compromiso (IoCs) identificados hasta el momento relacionados con la campaña maliciosa reportada en esta alerta:

  • Dominio
    • teenagemoglen[.]com

Medidas de contención

  • Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con la actividad maliciosa notificada y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias