Наблюдавани са две отделни заплахи, които злоупотребяват с услугите на Microsoft 365 и използват конфигурациите по подразбиране на Microsoft Teams, за да инициират разговори с вътрешни потребители, предупреждава Sophos.

Работейки с наематели на Microsoft 365, двете хакерски групи са извършили поне 15 атаки през последните три месеца, като вероятно са имали за цел да компрометират организациите с цел внедряване на ransomware и кражба на данни.

Проследени като STAC5143 и STAC5777, нападателите са използвали конфигурация по подразбиране на Microsoft Teams, която им е позволявала да инициират чатове и срещи с вътрешни потребители, представяйки се за техническа поддръжка и поемайки контрол над машината на целта, използвайки легитимни инструменти на Microsoft.

Първата атака STAC5143 е наблюдавана през ноември 2024 г. и е започнала с голям обем спам съобщения, които веднага са били последвани от обаждане в Teams от нападателите, от акаунт с име „Help Desk Manager“.

По време на обаждането нападателите са поискали отдалечен контрол на екрана чрез Teams, което им е позволило да отворят команден шел, да пуснат файлове в системата и да изпълнят зловреден софтуер.

Един час след като нападателите са изпълнили PowerShell команди за извличане на изпълним файл на ProtonVPN и злонамерен DLL за странично зареждане, е бил разгърнат полезен товар на Python, което е довело до инсталиране на набор от задни врати и са били изпълнени няколко команди за откриване на потребители и мрежи.

Техниките и инструментите, използвани от STAC5143, като зловредния софтуер Python, са като тези на FIN7/Sangria Tempest, но веригата на атаката и целевите организации се различават от тези на FIN7, отбелязва Sophos. Освен това изглежда, че  заплахата копира наръчника на Storm-1811 (известен още като Black Basta).

И STAC5777, казва Sophos, бомбардира служителите в целевите организации с голям обем спам съобщения и след това се свързва с тях чрез Teams, представяйки се за член на вътрешния ИТ екип.

„Съобщението в Teams – от противниците, отговорни за спам съобщенията – изискваше обаждане в Teams, за да се решат проблемите със спама. Но за разлика от инцидентите STAC5143, които наблюдавахме, активността на STAC5777 разчиташе много повече на действия „на ръка – на клавиатурата“,“ казва Sophos.

При всички документирани инциденти извършителят на  заплахата е инструктирал служителя по време на разговора с Team да инсталира Microsoft Quick Assist, което е позволило на нападателите да установят сесия за отдалечен достъп, да поемат контрола над машината на жертвата и да изтеглят зловреден полезен товар с помощта на уеб браузър.

Нападателите свалили легитимен изпълним файл на Microsoft, неподписани DLL от OpenSSL Toolkit, легитимна библиотека на Microsoft, DAT файл и злонамерен DLL, предназначен за събиране на системна и конфигурационна информация, потребителски данни и др.

След това STAC5777 извършва разузнавателни операции и използва събраните потребителски пълномощия, за да се придвижва странично в мрежата. Атакуващите също така са били забелязани да осъществяват локален достъп до файлове, да преглеждат конфигурационни файлове, за да извличат идентификационни данни, и да осъществяват достъп до мрежова схема за една от целевите организации. В един от случаите заплахата се е опитала да изпълни рансъмуера Black Basta.

„Организациите трябва да повишат осведомеността на служителите за тези видове тактики – това не са видовете неща, които обикновено се включват в обучението по антифишинг. Служителите трябва да са наясно кой е действителният им екип за техническа поддръжка и да се съобразяват с тактиките, целящи да създадат чувство за спешност, от които зависят този вид атаки, задвижвани от социален инженеринг“, отбелязва Sophos.

Източник: По материали от Интернет

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
Бъдете социални
Още по темата
06/02/2025

Нападателите се насочват къ...

Кампания за фишинг се възползва от...
05/02/2025

Петте очи дадоха насоки за ...

Агенциите за киберсигурност на Петте  очи...
05/02/2025

Внимавайте за тези 8 промен...

С развитието на сигурността в облака...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!