AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Hackers utilizan Microsoft Teams y Quick Assist para acceder a empresas financieras y sanitarias

admin

Introducción

En las últimas semanas, varios equipos de ciberseguridad han alertado sobre una campaña dirigida a organizaciones del sector financiero y sanitario, en la que los atacantes aprovechan Microsoft Teams como vector inicial de ataque. Mediante ingeniería social, los actores de amenaza logran convencer a empleados para que concedan acceso remoto a sus equipos a través de Quick Assist, una herramienta nativa de asistencia remota en Windows. El objetivo final es desplegar un nuevo malware identificado como A0Backdoor, diseñado para el control persistente de los sistemas comprometidos.

Contexto del Incidente

Los incidentes detectados se enmarcan en una tendencia creciente de ataques BEC (Business Email Compromise) y de ingeniería social avanzada, donde los adversarios buscan explotar la confianza y la falta de formación específica de los empleados. En este caso, las organizaciones financieras y sanitarias han sido el principal objetivo, sectores especialmente sensibles por el volumen y valor de los datos que gestionan, así como por el impacto potencial de una brecha de seguridad.

Este ataque pone de manifiesto la evolución de los TTP (Tácticas, Técnicas y Procedimientos) empleados por los atacantes, que han dejado atrás los métodos de phising por correo electrónico para adoptar canales de comunicación corporativos más directos y menos vigilados, como es el caso de Microsoft Teams.

Detalles Técnicos

La campaña se inicia con los atacantes contactando a empleados mediante mensajes directos en Microsoft Teams. Aprovechando la posibilidad de suplantar identidades —en algunos casos utilizando cuentas comprometidas internas o dominios falsificados—, persuaden a las víctimas de que requieren soporte técnico urgente.

Una vez captada la atención de la víctima, solicitan la ejecución de Quick Assist, herramienta integrada en Windows 10 y Windows 11 (versión 1809 en adelante), bajo el pretexto de resolver incidencias técnicas. A través de Quick Assist, obtienen control interactivo del equipo de la víctima, eludiendo muchas de las restricciones y controles de acceso convencionales.

Con el acceso remoto concedido, los atacantes ejecutan el despliegue de A0Backdoor, un malware de acceso remoto (RAT) de última generación. Este backdoor permite la persistencia en el sistema, exfiltración de información, ejecución de comandos arbitrarios y descarga de payloads adicionales. El análisis preliminar de muestras obtenidas revela técnicas de evasión avanzadas, como la ofuscación mediante packers personalizados y uso de LOLBins (Living Off the Land Binaries) para minimizar la detección.

En cuanto a la cadena de ataque, se han identificado los siguientes TTP asociados al framework MITRE ATT&CK:
– Initial Access: T1566.002 (Phishing vía servicios de mensajería)
– Execution: T1219 (Remote Access Tools)
– Persistence: T1547 (Boot or Logon Autostart Execution)
– Defense Evasion: T1218 (Signed Binary Proxy Execution)
– Command and Control: T1071 (Application Layer Protocol)

Entre los indicadores de compromiso (IoC) detectados, destacan hashes SHA256 específicos del ejecutable A0Backdoor, IPs de C2 asociados a VPS ubicados en Europa del Este y artefactos de Quick Assist en los registros de eventos de Windows.

Impacto y Riesgos

El impacto potencial de esta campaña es elevado, dado que permite a los atacantes eludir controles tradicionales de seguridad perimetral y de endpoint, aprovechando la confianza interna y la legitimidad de las herramientas de asistencia remota. Los riesgos incluyen:
– Robo de credenciales y datos confidenciales financieros y de salud.
– Persistencia a largo plazo para ataques posteriores (lateral movement, ransomware).
– Compromiso de la integridad de registros médicos y financieros, con posibles implicaciones legales bajo GDPR y NIS2.
– Daño reputacional y pérdidas económicas directas (costes de remediación, sanciones regulatorias).

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de este tipo de ataques, se recomienda:
– Restringir el uso de Quick Assist y otras herramientas de acceso remoto a personal autorizado y bajo políticas estrictas de justificación y monitorización.
– Implementar autenticación multifactor (MFA) en Microsoft Teams y realizar auditorías periódicas de actividad sospechosa.
– Desplegar soluciones EDR/XDR con capacidad de detección de LOLBins y actividad anómala en procesos de acceso remoto.
– Realizar campañas de concienciación específicas sobre ingeniería social y suplantación en canales colaborativos.
– Mantener actualizados sistemas y aplicaciones, y aplicar segmentación de red para reducir el impacto de un acceso comprometido.

Opinión de Expertos

Analistas de ciberinteligencia consultados destacan que “el uso de canales legítimos como Teams y herramientas nativas de Windows dificulta la detección temprana del ataque, ya que gran parte del tráfico y la actividad parecen legítimos a ojos de los sistemas SIEM convencionales”. Subrayan la importancia de combinar medidas técnicas con formación continuada a los empleados para identificar intentos de ingeniería social sofisticados.

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus políticas de acceso remoto y colaboración, así como reforzar los controles sobre herramientas integradas en los sistemas operativos. El incidente demuestra que la superficie de ataque se amplía conforme se adoptan nuevas formas de colaboración digital, y exige una revisión constante de los modelos de seguridad Zero Trust y de los procedimientos de respuesta ante incidentes.

Conclusiones

La campaña basada en Microsoft Teams y Quick Assist pone de manifiesto la creciente sofisticación de los adversarios en la explotación de la confianza y las herramientas corporativas. El despliegue de A0Backdoor supone una amenaza crítica para los sectores financiero y sanitario, obligando a adoptar contramedidas técnicas y organizativas que incluyan tanto la monitorización avanzada como la formación dirigida. Las empresas deben anticipar estos vectores emergentes y reforzar su postura defensiva de manera proactiva.

(Fuente: www.bleepingcomputer.com)