Наблюдавани са две отделни заплахи, които злоупотребяват с услугите на Microsoft 365 и използват конфигурациите по подразбиране на Microsoft Teams, за да инициират разговори с вътрешни потребители, предупреждава Sophos.

Работейки с наематели на Microsoft 365, двете хакерски групи са извършили поне 15 атаки през последните три месеца, като вероятно са имали за цел да компрометират организациите с цел внедряване на ransomware и кражба на данни.

Проследени като STAC5143 и STAC5777, нападателите са използвали конфигурация по подразбиране на Microsoft Teams, която им е позволявала да инициират чатове и срещи с вътрешни потребители, представяйки се за техническа поддръжка и поемайки контрол над машината на целта, използвайки легитимни инструменти на Microsoft.

Първата атака STAC5143 е наблюдавана през ноември 2024 г. и е започнала с голям обем спам съобщения, които веднага са били последвани от обаждане в Teams от нападателите, от акаунт с име „Help Desk Manager“.

По време на обаждането нападателите са поискали отдалечен контрол на екрана чрез Teams, което им е позволило да отворят команден шел, да пуснат файлове в системата и да изпълнят зловреден софтуер.

Един час след като нападателите са изпълнили PowerShell команди за извличане на изпълним файл на ProtonVPN и злонамерен DLL за странично зареждане, е бил разгърнат полезен товар на Python, което е довело до инсталиране на набор от задни врати и са били изпълнени няколко команди за откриване на потребители и мрежи.

Техниките и инструментите, използвани от STAC5143, като зловредния софтуер Python, са като тези на FIN7/Sangria Tempest, но веригата на атаката и целевите организации се различават от тези на FIN7, отбелязва Sophos. Освен това изглежда, че  заплахата копира наръчника на Storm-1811 (известен още като Black Basta).

И STAC5777, казва Sophos, бомбардира служителите в целевите организации с голям обем спам съобщения и след това се свързва с тях чрез Teams, представяйки се за член на вътрешния ИТ екип.

„Съобщението в Teams – от противниците, отговорни за спам съобщенията – изискваше обаждане в Teams, за да се решат проблемите със спама. Но за разлика от инцидентите STAC5143, които наблюдавахме, активността на STAC5777 разчиташе много повече на действия „на ръка – на клавиатурата“,“ казва Sophos.

При всички документирани инциденти извършителят на  заплахата е инструктирал служителя по време на разговора с Team да инсталира Microsoft Quick Assist, което е позволило на нападателите да установят сесия за отдалечен достъп, да поемат контрола над машината на жертвата и да изтеглят зловреден полезен товар с помощта на уеб браузър.

Нападателите свалили легитимен изпълним файл на Microsoft, неподписани DLL от OpenSSL Toolkit, легитимна библиотека на Microsoft, DAT файл и злонамерен DLL, предназначен за събиране на системна и конфигурационна информация, потребителски данни и др.

След това STAC5777 извършва разузнавателни операции и използва събраните потребителски пълномощия, за да се придвижва странично в мрежата. Атакуващите също така са били забелязани да осъществяват локален достъп до файлове, да преглеждат конфигурационни файлове, за да извличат идентификационни данни, и да осъществяват достъп до мрежова схема за една от целевите организации. В един от случаите заплахата се е опитала да изпълни рансъмуера Black Basta.

„Организациите трябва да повишат осведомеността на служителите за тези видове тактики – това не са видовете неща, които обикновено се включват в обучението по антифишинг. Служителите трябва да са наясно кой е действителният им екип за техническа поддръжка и да се съобразяват с тактиките, целящи да създадат чувство за спешност, от които зависят този вид атаки, задвижвани от социален инженеринг“, отбелязва Sophos.