Търсене
Close this search box.

Microsoft предупреждава за нова фишинг кампания чрез съобщения в Teams

Microsoft предупреждава за нова фишинг кампания, предприета от брокер на първоначален достъп, която включва използване на съобщения от Teams като примамка за проникване в корпоративни мрежи.

Екипът за разузнаване на заплахите на технологичния гигант проследява клъстера под името Storm-0324, който е известен още с прякорите TA543 и Sagrid.

„От юли 2023 г. Storm-0324 е наблюдаван да разпространява полезен товар, използвайки инструмент с отворен код за изпращане на фишинг примамки чрез чатове на Microsoft Teams“, заявиха от компанията, като добавиха, че разработката бележи промяна от използването на базирани на електронна поща вектори за първоначален достъп.

Storm-0324 оперира в киберпрестъпната икономика като дистрибутор на полезни товари, предлагайки услуга, която позволява разпространението на различни полезни товари с помощта на уклончиви вериги за заразяване. Това включва смесица от даунлоудъри, банкови троянски коне, рансъмуер и модулни набори от инструменти като Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab и JSSLoader.

В миналото атаките, организирани от този хакерски синдикат, са използвали примамливи имейл съобщения на тема фактури и плащания, за да подмамят потребителите да изтеглят ZIP архивни файлове, хоствани от SharePoint, които разпространяват JSSLoader – програма за зареждане на зловреден софтуер, способна да профилира заразените машини и да зарежда допълнителни полезни товари.

„Веригите от имейли на групата са силно уклончиви, като използват системи за разпределение на трафика (TDS) като BlackTDS и Keitaro, които осигуряват възможности за идентификация и филтриране, за да се адаптира потребителският трафик“, заявиха от Microsoft.

„Тази способност за филтриране позволява на нападателите да избягват откриването от определени IP диапазони, които могат да бъдат решения за сигурност, като например пясъчници за зловреден софтуер, като същевременно успешно пренасочват жертвите към своя зловреден сайт за изтегляне.“

Достъпът, предоставен от зловредния софтуер, проправя пътя на Sangria Tempest (известен още като Carbon Spider, ELBRUS и FIN7), който предлага откуп като услуга (RaaS), да извърши действия след експлоатирането и да разположи зловреден софтуер, криптиращ файлове.

Оттогава до юли 2023 г. начинът на действие е получил подобрение, при което фишинг примамките се изпращат през Teams със злонамерени връзки, водещи до злонамерен ZIP файл, хостван в SharePoint.

Това се постига, като се използва инструмент с отворен код, наречен TeamsPhisher, който позволява на потребителите на потребители на Teams да прикачват файлове към съобщения, изпратени до външни потребители, като се използва проблем, който за първи път беше изтъкнат от JUMPSEC през юни 2023 г.

Струва си да се отбележи, че подобна техника е възприета от руския национален държавен извършител APT29 (известен още като Midnight Blizzard) в атаки, насочени към около 40 организации в световен мащаб през май 2023 г.

Компанията заяви, че е направила няколко подобрения на сигурността, за да блокира заплахата, и че е „спряла идентифицираните акаунти и потребители, свързани с неавтентично или измамно поведение“.

„Тъй като Storm-0324 предава достъп на други заплахи, идентифицирането и коригирането на дейността на Storm-0324 може да предотврати по-опасни последващи атаки като ransomware“, посочи още Microsoft.

Разкритието идва в момент, когато Kaspersky подробно описа тактиките, техниките и процедурите на известната група за рансъмуер, известна като Cuba (известна още като COLDDRAW и Tropical Scorpius), заедно с идентифицирането на нов псевдоним на име „V Is Vendetta“, за който се подозира, че е използван от подгрупа или филиал.

Групата, подобно на схемите за RaaS, използва бизнес модела на двойното изнудване, за да атакува множество компании по целия свят и да генерира незаконни печалби.

Маршрутите за проникване включват използването на ProxyLogon, ProxyShell, ZeroLogon и пропуски в сигурността на софтуера Veeam Backup & Replication за разгръщане на Cobalt Strike и персонализирана задна врата, наречена BUGHATCH, която след това се използва за доставяне на актуализирани версии на BURNTCIGAR с цел прекратяване на работата на софтуера за сигурност, работещ на хоста.

„Бандата за киберпрестъпления Cuba използва обширен арсенал от публично достъпни и специално създадени инструменти, които поддържа в актуално състояние, както и различни техники и методи, включително доста опасни, като BYOVD“, казва Kaspersky.

През 2023 г. атаките с рансъмуер са отбелязали сериозен скок, като Националният център за киберсигурност на Обединеното кралство (NCSC) и Националната агенция за борба с престъпността (NCA) отбелязват, че те са „зависими от сложна верига за доставки“.

„Фокусирането върху конкретни щамове на рансъмуер може да бъде в най-добрия случай объркващо, а в най-лошия – безполезно“, заявиха агенциите в доклад, публикуван по-рано тази седмица. „Повечето инциденти с ransomware не се дължат на сложни техники за атака; първоначалният достъп до жертвите се получава по опортюнистичен начин, като успехът обикновено е резултат от лоша киберхигиена.“

 

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
Бъдете социални
Още по темата
12/06/2024

Нова заплаха се разпростран...

Невиждан досега зловреден софтуер за Windows,...
26/05/2024

Хакери използват троянски ...

Хакери използват код от Python клонинг...
19/05/2024

Grandoreiro се завръща по -...

Банковият троянец за Android „Grandoreiro“ се...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!