Наблюдавани са две отделни заплахи, които злоупотребяват с услугите на Microsoft 365 и използват конфигурациите по подразбиране на Microsoft Teams, за да инициират разговори с вътрешни потребители, предупреждава Sophos.
Работейки с наематели на Microsoft 365, двете хакерски групи са извършили поне 15 атаки през последните три месеца, като вероятно са имали за цел да компрометират организациите с цел внедряване на ransomware и кражба на данни.
Проследени като STAC5143 и STAC5777, нападателите са използвали конфигурация по подразбиране на Microsoft Teams, която им е позволявала да инициират чатове и срещи с вътрешни потребители, представяйки се за техническа поддръжка и поемайки контрол над машината на целта, използвайки легитимни инструменти на Microsoft.
Първата атака STAC5143 е наблюдавана през ноември 2024 г. и е започнала с голям обем спам съобщения, които веднага са били последвани от обаждане в Teams от нападателите, от акаунт с име „Help Desk Manager“.
По време на обаждането нападателите са поискали отдалечен контрол на екрана чрез Teams, което им е позволило да отворят команден шел, да пуснат файлове в системата и да изпълнят зловреден софтуер.
Един час след като нападателите са изпълнили PowerShell команди за извличане на изпълним файл на ProtonVPN и злонамерен DLL за странично зареждане, е бил разгърнат полезен товар на Python, което е довело до инсталиране на набор от задни врати и са били изпълнени няколко команди за откриване на потребители и мрежи.
Техниките и инструментите, използвани от STAC5143, като зловредния софтуер Python, са като тези на FIN7/Sangria Tempest, но веригата на атаката и целевите организации се различават от тези на FIN7, отбелязва Sophos. Освен това изглежда, че заплахата копира наръчника на Storm-1811 (известен още като Black Basta).
И STAC5777, казва Sophos, бомбардира служителите в целевите организации с голям обем спам съобщения и след това се свързва с тях чрез Teams, представяйки се за член на вътрешния ИТ екип.
„Съобщението в Teams – от противниците, отговорни за спам съобщенията – изискваше обаждане в Teams, за да се решат проблемите със спама. Но за разлика от инцидентите STAC5143, които наблюдавахме, активността на STAC5777 разчиташе много повече на действия „на ръка – на клавиатурата“,“ казва Sophos.
При всички документирани инциденти извършителят на заплахата е инструктирал служителя по време на разговора с Team да инсталира Microsoft Quick Assist, което е позволило на нападателите да установят сесия за отдалечен достъп, да поемат контрола над машината на жертвата и да изтеглят зловреден полезен товар с помощта на уеб браузър.
Нападателите свалили легитимен изпълним файл на Microsoft, неподписани DLL от OpenSSL Toolkit, легитимна библиотека на Microsoft, DAT файл и злонамерен DLL, предназначен за събиране на системна и конфигурационна информация, потребителски данни и др.
След това STAC5777 извършва разузнавателни операции и използва събраните потребителски пълномощия, за да се придвижва странично в мрежата. Атакуващите също така са били забелязани да осъществяват локален достъп до файлове, да преглеждат конфигурационни файлове, за да извличат идентификационни данни, и да осъществяват достъп до мрежова схема за една от целевите организации. В един от случаите заплахата се е опитала да изпълни рансъмуера Black Basta.
„Организациите трябва да повишат осведомеността на служителите за тези видове тактики – това не са видовете неща, които обикновено се включват в обучението по антифишинг. Служителите трябва да са наясно кой е действителният им екип за техническа поддръжка и да се съобразяват с тактиките, целящи да създадат чувство за спешност, от които зависят този вид атаки, задвижвани от социален инженеринг“, отбелязва Sophos.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.