Η Microsoft ανακοίνωσε ότι ένας μεσίτης πρόσβασης, γνωστός για τη συνεργασία του με ομάδες ransomware, εκτέλεσε επιτυχώς επιθέσεις phishing στην πλατφόρμα Microsoft Teams, με στόχο να παραβιάσει εταιρικά δίκτυα.
Δείτε επίσης: Microsoft Teams: Επίθεση phishing ωθεί το κακόβουλο λογισμικό DarkGate
Η ομάδα ransomware που βρίσκεται πίσω από αυτήν την καμπάνια απειλών με οικονομικά κίνητρα αναγνωρίζεται ως Storm-0324. Πρόκειται για έναν κακόβουλο παράγοντα που έχει γνωστοποιηθεί για την ανάπτυξη του ransomware Sage και GandCrab στο παρελθόν. Το Storm-0324 παρείχε επίσης πρόσβαση στην γνωστή εγκληματική ομάδα FIN7, η οποία εισήλθε σε εταιρικά δίκτυα. Αυτό έγινε χρησιμοποιώντας τα JSSLoader, Gozi και Nymaim.
Η ομάδα FIN7 (επίσης γνωστή ως Sangria Tempest και ELBRUS) φαίνεται να έχει δημιουργήσει το ransomware Clop και να το εξαπλώνει σε δίκτυα θυμάτων. Επίσης, στο παρελθόν είχε συνδεθεί με τα ransomware Maze και REvil πριν από τις πιο ανενεργές λειτουργίες των BlackMatter και DarkSide ransomware-as-a-service (Raas).
“Τον Ιούλιο του 2023, το Storm-0324 άρχισε να χρησιμοποιεί θέλγητρα phishing που αποστέλλονται μέσω Teams με κακόβουλους συνδέσμους που οδηγούν σε ένα κακόβουλο αρχείο που φιλοξενείται στο SharePoint“, δήλωσε η Microsoft την Τρίτη.
“Για αυτή τη δραστηριότητα, το Storm-0324 πιθανότατα βασίζεται σε ένα δημοσίως διαθέσιμο εργαλείο που ονομάζεται TeamsPhisher.“
Αυτό το εργαλείο ανοιχτού κώδικα επιτρέπει σε κακόβουλους παράγοντες να παρακάμπτουν τους περιορισμούς για εισερχόμενα αρχεία από εξωτερικούς ενοικιαστές και να αποστέλλουν συνημμένα ηλεκτρονικού “ψαρέματος” στους χρήστες του Teams.
Δείτε ακόμα: Microsoft Teams: Πώς να αποκρύψετε μια συνομιλία;
Αυτό το πρόβλημα ασφαλείας στο Microsoft Teams ανακαλύφθηκε από ερευνητές ασφαλείας της Jumpsec. Παρόλα αυτά, η Microsoft αρνήθηκε να το αντιμετωπίσει τον Ιούλιο, αιτιολογώντας ότι το ελάττωμα “δεν απαιτεί άμεση λύση”. Με αυτόν τον τρόπο, η ασφάλεια του προγράμματος παραμένει ευάλωτη. Ωστόσο, η APT29, που αποτελεί το τμήμα χάκερ της Ρωσικής Υπηρεσίας Εξωτερικών Πληροφοριών (SVR), εκμεταλλεύτηκε επίσης αυτό το ζήτημα, για να επιτεθεί σε δεκάδες οργανισμούς, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών σε όλο τον κόσμο.
Παρότι αυτή τη φορά η Microsoft δεν παρείχε λεπτομέρειες για τον τελικό σκοπό των επιθέσεων του Storm-0324, ο στόχος των επιθέσεων του APT29 ήταν η κλοπή διαπιστευτηρίων από τους στόχους, αξιοποιώντας την απάτη τους για την έγκριση πολλαπλών παραγόντων ελέγχου ταυτότητας (MFA).
Η εταιρεία ανακοίνωσε ότι εργάζεται επίμονα για να τερματίσει αυτές τις επιθέσεις και να προστατεύσει τους πελάτες τουTeams.
«Η Microsoft λαμβάνει πολύ σοβαρά υπόψη αυτές τις εκστρατείες phishing και έχει αναπτύξει αρκετές βελτιώσεις για την καλύτερη άμυνα έναντι αυτών των απειλών», δήλωσε η Microsoft.
Σύμφωνα με την ανακοίνωση της εταιρείας, οι φορείς απειλών που χρησιμοποιούν αυτές τις τακτικές phishing στο Teams πλέον αναγνωρίζονται ως “ΕΞΩΤΕΡΙΚΟΙ” χρήστες όταν η εξωτερική πρόσβαση είναι ενεργοποιημένη στις ρυθμίσεις μιας οργάνωσης.
Δείτε επίσης: Microsoft Teams: Πώς να χρησιμοποιήσετε τα φίλτρα της Maybelline;
Μετά τον εντοπισμό των επιθέσεων phishing από την ομάδα Storm-0324 στο Teams, η Microsoft ανέστειλε προσωρινά όλους τους “ενοικιαστές” και τους λογαριασμούς που εμπλέκονταν στην εν λόγω επίθεση.
