AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cibercriminales aprovechan Microsoft Teams y AWS S3 con el malware Snow en ataques dirigidos a empresas**

admin

### 1. Introducción

Las campañas de ataque multivectoriales continúan consolidándose como la táctica preferida de los actores de amenazas avanzados. Recientemente, investigadores han identificado un grupo adversario inédito que está explotando plataformas ampliamente adoptadas en entornos corporativos, como Microsoft Teams y AWS S3, junto con un malware personalizado denominado «Snow». Esta estrategia combina técnicas de ingeniería social, abuso de servicios cloud y desarrollo de software malicioso a medida, representando un desafío significativo para los equipos de ciberseguridad.

### 2. Contexto del Incidente o Vulnerabilidad

El incidente fue reportado tras la detección de varios intentos de phishing sofisticados dirigidos a empleados de medianas y grandes empresas, principalmente en Europa y Norteamérica. El modus operandi del grupo consiste en utilizar Microsoft Teams, una de las aplicaciones de colaboración más implantadas desde la pandemia, para distribuir enlaces maliciosos alojados en buckets públicos de Amazon S3.

El acceso inicial se basa en el envío de mensajes directos o la integración en canales existentes mediante técnicas de spoofing o secuestro de cuentas. Una vez el usuario interactúa con el enlace, se descarga el malware Snow, diseñado específicamente para evadir soluciones EDR y mecanismos estándar de filtrado de archivos.

### 3. Detalles Técnicos

#### CVE y Vectores de Ataque

Aunque el ataque no explota una vulnerabilidad específica (no se ha asignado CVE por el momento), el vector principal es el phishing a través de Teams, apalancándose en la confianza inherente que los usuarios depositan en comunicaciones internas. El malware Snow se distribuye como un ejecutable ofuscado alojado en AWS S3, aprovechando la credibilidad de los dominios cloud.

#### Técnicas, Tácticas y Procedimientos (MITRE ATT&CK)

– **Initial Access (T1192, T1566.002):** Phishing a través de plataformas colaborativas.
– **Execution (T1204.002):** Descarga y ejecución de archivos maliciosos desde AWS S3.
– **Persistence (T1547):** Modificación de claves de registro y tareas programadas.
– **Defense Evasion (T1027, T1140):** Ofuscación y cifrado de código.
– **Command and Control (T1071.001):** Comunicación cifrada con C2 vía HTTPS sobre S3.
– **Credential Access (T1555):** Robos de credenciales almacenadas en navegadores y clientes de correo.

#### Indicadores de Compromiso (IoC)

– URLs de AWS S3 con patrones inusuales y nombres de bucket generados aleatoriamente.
– Hashes SHA256 de variantes de Snow detectadas:
– e.g., 3d2a9f0e5dc9a92eab7f41c2e0b8e8dce2c8f2e2c8f9a1a4d0c7e8b2f1a9c7e1
– Dominios de C2 con subdominios dinámicos y certificados SSL autofirmados.

#### Herramientas y Frameworks

Si bien el grupo utiliza el malware Snow como core, durante la post-explotación se han detectado cargas de módulos de Metasploit y Cobalt Strike, presumiblemente para escalado de privilegios y movimientos laterales.

### 4. Impacto y Riesgos

El informe preliminar indica que hasta un 2% de las organizaciones con presencia en Teams han sido blanco de la campaña en la primera oleada, con una tasa de conversión (infección efectiva tras phishing) estimada en el 8%. Los riesgos principales incluyen:

– Exfiltración de credenciales corporativas y personales.
– Compromiso de endpoints y lateralización interna.
– Acceso persistente a recursos cloud y aplicaciones SaaS.
– Potencial incumplimiento de normativas como el GDPR y NIS2, dada la naturaleza sensible de los datos expuestos.

En términos económicos, el coste medio de remediación por incidente se estima en 73.000€, considerando la investigación, respuesta, recuperación y posibles sanciones regulatorias.

### 5. Medidas de Mitigación y Recomendaciones

Los equipos de seguridad deben implementar una defensa en profundidad ante este nuevo vector. Recomendaciones clave incluyen:

– **Deshabilitar enlaces externos y restricciones de invitación en Microsoft Teams** para minimizar el acceso de actores no autorizados.
– **Monitorizar y restringir el uso de buckets públicos en AWS S3**; aplicar políticas de bucket policies y AWS Config Rules.
– **Actualizar y fortalecer los controles EDR** para detectar ejecutables ofuscados y procesos anómalos.
– **Formación continua a usuarios** sobre riesgos de ingeniería social y phishing en plataformas colaborativas.
– **Desplegar reglas YARA y SIEM** para identificar patrones de Snow y actividades asociadas en logs.
– **Revisar políticas de retención y almacenamiento de credenciales** en navegadores y clientes de correo.

### 6. Opinión de Expertos

Según Marta Hernández, CISO de una entidad bancaria europea: “El abuso de plataformas colaborativas internas es una evolución lógica del phishing, ya que explota la confianza entre colegas y la dificultad de filtrar contenido malicioso en entornos aparentemente seguros. La protección debe ir más allá del perímetro tradicional y abordar la identidad y el contexto del usuario.”

Por su parte, el analista SOC Carlos Pérez destaca: “El uso de AWS S3 no solo dificulta el bloqueo por reputación, sino que también permite una infraestructura de C2 altamente resiliente y escalable”.

### 7. Implicaciones para Empresas y Usuarios

Este ataque subraya la necesidad de revisar la arquitectura de seguridad de las empresas en torno a herramientas SaaS y cloud públicas. La frontera entre recursos internos y externos es cada vez más difusa, y la explotación de servicios legítimos representa un reto adicional para la detección y respuesta.

Para los usuarios finales, la confianza en comunicaciones internas debe gestionarse con escepticismo y los departamentos de IT deben reforzar la cultura de ciberseguridad, especialmente en el trabajo híbrido y remoto.

### 8. Conclusiones

La campaña del actor de amenazas que combina Microsoft Teams, AWS S3 y el malware Snow es un claro ejemplo de la profesionalización y sofisticación de los ataques dirigidos a empresas. La explotación de plataformas cloud y colaborativas obliga a los equipos de seguridad a adoptar una aproximación más integrada y proactiva, reforzando políticas, formación y capacidades de detección. La colaboración entre departamentos de IT, cumplimiento normativo y usuarios es clave para mitigar el impacto de estas nuevas amenazas.

(Fuente: www.darkreading.com)