Los ataques multimodales están en aumento y evolucionan rápidamente. Un tipo de estos ataques híbridos comienza con un evento de “email bombing”, saturando la bandeja de entrada del usuario con suscripciones legítimas, seguido de mensajes y llamadas a través de Microsoft Teams hacia los usuarios objetivo. ¿El objetivo? Ganar confianza, distraer a los defensores y establecer persistencia.
Por ejemplo, los atacantes pueden hacerse pasar por personal de soporte técnico que responde a un incidente de email bombing, instando a los usuarios a conceder acceso remoto, llevándolos a descargar archivos con malware. Nuestra telemetría muestra más de 300 actores de amenazas realizando estos ataques multimodales, algunos a través de Microsoft Teams. Estas tácticas no son acciones aisladas — son coordinadas. Aprende más aquí.
Defender se adapta continuamente al comportamiento de los atacantes, permitiendo la detección de amenazas emergentes. Inicialmente, los atacantes utilizaban términos simples como “Help Desk” como nombre visible en Teams para engañar, pero han evolucionado usando palabras como “Cyber”, caracteres Unicode como ‘☑️’ e incluso insertando caracteres invisibles para eludir detección. También vemos estos ataques híbridos derivando en compromisos que pueden evidenciarse por ejecuciones de PowerShell codificadas que inician conexiones de red sospechosas. Ahora, Microsoft Defender para Office 365 puede no solo detectar, sino también correlacionar estas señales a través de correo, colaboración y otras modalidades.
Ejemplo de un ataque multimodal
Mejor seguimiento de atacantes y nuevos tipos de detección
Ahora es más fácil ver patrones coordinados de ataques multimodales (híbridos) directamente en el portal de Defender a través de la experiencia de incidentes. Esto significa que los equipos de seguridad pueden:
- Identificar incidentes relacionados a través de correo, Teams y plataformas de identidad.
- Rastrear el movimiento del atacante desde el acceso inicial hasta fases de comando y control (C2).
- Interrumpir ataques en tiempo real utilizando detección robusta y respuestas automatizadas.
Nuevas alertas incluyen:
- Actividad de email bombing detectada – Identifica grandes volúmenes de correos dirigidos a un usuario.
- Posible suplantación maliciosa de soporte técnico en Teams tras email bombing – Señala hilos sospechosos en Teams posteriores al bombardeo de emails.
Alerta relacionada:
- Ejecución sospechosa de PowerShell codificada iniciando una conexión de red – Detecta scripts ofuscados que intentan conectarse a la infraestructura de los atacantes.
Estas alertas están diseñadas para trabajar en conjunto, ilustrando todo el panorama de la estrategia del atacante y permitiendo a los defensores actuar con decisión.
Empoderando a los analistas SOC con hunting avanzado e IOCs
La detección es solo el principio. Los equipos de seguridad pueden profundizar sus investigaciones usando Advanced Hunting en Microsoft Defender y Microsoft Sentinel.
Mediante Indicadores de Compromiso (IOCs) — como direcciones de correo, IPs o palabras clave sospechosas como “IT Support”— los clientes pueden:
- Crear consultas personalizadas para descubrir amenazas ocultas.
- Buscar en toda la información de identidades, dispositivos y Office 365.
- Investigar actividades post-incidente como cambios en MFA o restablecimientos de contraseñas de emergencia.
Puedes recolectar IOCs a través de incidentes y alertas en el portal y en consultas de Advanced Hunting como estas:
- Consultar AlertInfo para recolectar información general y enlaces a más IOCs.
AlertInfo
| where Timestamp >= ago(2h)
| where Title == "Microsoft Teams chat initiated by a suspicious external user"
| top 100 by Timestamp- Consultar AlertEvidence para extraer IOCs relacionados desde una alerta.
AlertEvidence
| where Timestamp >= ago(2h)
| where Title == "Microsoft Teams chat initiated by a suspicious external user"
| top 100 by TimestampA continuación se muestran algunas consultas de ejemplo que se pueden utilizar como reglas de detección personalizadas en Advanced Hunting para detectar mail bombing, contenido malicioso de Teams e intentos de ataque de contraseñas, respectivamente:
- Usar EmailEvents para detectar email bombing.
EmailEvents
| where Timestamp > ago(1d)
| where DetectionMethods contains "Mail bombing"
| project Timestamp, NetworkMessageId, SenderFromAddress, RecipientEmailAddress, Subject, ReportId- Usar MessageEvents (tabla recientemente publicada) para detectar contenido malicioso en Teams.
MessageEvents
| where Timestamp > ago(1d)
| where ThreatTypes has "Phish"
or ThreatTypes has "Malware"
or ThreatTypes has "Spam"
| project Timestamp, SenderDisplayName, SenderEmailAddress, RecipientDetails, IsOwnedThread, ThreadType, IsExternalThread, ReportId- Usar MessageEvents para encontrar comunicación bidireccional con supuestos representantes de soporte externo.
MessageEvents
| where Timestamp > ago(5d)
| where (RecipientDetails contains "help" and RecipientDetails contains "desk")
or (RecipientDetails contains "it" and RecipientDetails contains "support")
or (RecipientDetails contains "working" and RecipientDetails contains "home")
| where IsExternalThread == true
| project Timestamp, SenderDisplayName, SenderEmailAddress, RecipientDetails, IsOwnedThread, ThreadType- Utilizar IdentityLogonEvents para detectar intentos de password spray.
IdentityLogonEvents
| where Timestamp > ago(5d)
| where LogonError in ("UserAccountNotFound", "BadPassword")
| summarize FailedAttempts = count(), UniqueUsers = dcount(AccountUpn), UserList = make_set(AccountUpn, 10) by IPAddress, bin(Timestamp, 5m)Estrategias adicionales de detección y respuesta incluyen:
- Monitorizar menciones noticiosas de tu organización y crear reglas de detección para asuntos relacionados.
- Rastrear intentos de suplantación de personal clave (p. ej., CIO, soporte TI), especialmente los que tienen presencia en redes sociales.
- Investigar IPs inusuales o actividades anómalas relacionadas con personas objetivo.
- Configurar acciones de remediación automática en reglas de detección personalizada para detectar y eliminar amenazas sin intervención manual.
También puedes bloquear llamadas externas en Teams restringiendo la interacción con tenants de prueba mediante los controles de federación de Teams.
Estas consultas ayudan a los defensores a pivotar entre IOCs y destapar el alcance completo de una campaña híbrida. Microsoft Sentinel también puede ser usado para buscar, almacenar y compartir IOCs. Más información sobre esta funcionalidad está disponible en la documentación oficial de Microsoft.
Los ataques multimodales son complejos, pero con las herramientas adecuadas, los equipos de defensa pueden detectar, correlacionar y responder de forma efectiva a través de múltiples vectores. Combinando detecciones preconfiguradas y estrategias de hunting, las organizaciones pueden anticiparse a amenazas en evolución y proteger a sus usuarios de ataques de distracción y engaño.
Nota: Las alertas mencionadas están disponibles para clientes con licencias de Microsoft Defender para Office 365 y Microsoft Defender para Cloud Apps. Estas novedades se están implementando gradualmente para todos los clientes a nivel mundial.
