Οι χάκερ χρησιμοποίησαν το Microsoft Teams για να χειραγωγήσουν ένα θύμα ώστε να τους παραχωρήσει απομακρυσμένη πρόσβαση στο σύστημά του. Η επίθεση, που αναλύθηκε από την Trend Micro, υπογραμμίζει την αυξανόμενη πολυπλοκότητα των τακτικών social engineering που χρησιμοποιούνται από τους εγκληματίες του κυβερνοχώρου.
Δείτε επίσης: Το Microsoft 365 Copilot φέρνει βελτιωμένες δυνατότητες AI
Η επίθεση ξεκίνησε με μια πλημμύρα από μηνύματα ηλεκτρονικού phishing που στόχευαν το θύμα. Λίγο αργότερα, ο εισβολέας ξεκίνησε μια κλήση του Microsoft Teams, παριστάνοντας τον υπάλληλο ενός αξιόπιστου πελάτη.
Κατά τη διάρκεια της κλήσης στο Teams, ο εισβολέας έδωσε εντολή στο θύμα να κατεβάσει μια εφαρμογή απομακρυσμένης πρόσβασης, προτείνοντας αρχικά την απομακρυσμένη υποστήριξη της Microsoft. Όταν η εγκατάσταση από το Microsoft Store απέτυχε, ο εισβολέας στράφηκε στο AnyDesk, ένα νόμιμο εργαλείο απομακρυσμένης επιφάνειας εργασίας που χρησιμοποιείται συχνά από εγκληματίες του κυβερνοχώρου. Μόλις εγκατασταθεί το AnyDesk, ο εισβολέας αποκτά τον έλεγχο του μηχανήματος του θύματος.
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Ανέπτυξαν πολλά ύποπτα αρχεία, συμπεριλαμβανομένου ενός που ταυτοποιήθηκε ως Trojan.AutoIt.DARKGATE.D. Αυτό το κακόβουλο λογισμικό διανεμήθηκε μέσω ενός σεναρίου AutoIt, το οποίο επέτρεπε τον απομακρυσμένο έλεγχο του συστήματος, την εκτέλεση κακόβουλων εντολών και τη σύνδεση με έναν διακομιστή εντολών και ελέγχου (C2).
Δείτε ακόμα: Η Microsoft επανακυκλοφορεί την ενημέρωση ασφαλείας του Exchange Server
Αφού απέκτησε πρόσβαση μέσω του AnyDesk, ο εισβολέας εκτέλεσε εντολές για να συγκεντρώσει λεπτομερείς πληροφορίες συστήματος και διαμορφώσεις δικτύου. Εντολές όπως systeminfo, route print και ipconfig /all εκτελέστηκαν για τη συλλογή δεδομένων σχετικά με το υλικό, το λογισμικό και τη ρύθμιση δικτύου του συστήματος. Οι πληροφορίες που συγκεντρώθηκαν αποθηκεύτηκαν σε ένα αρχείο με το όνομα 123.txt, πιθανότατα για περαιτέρω αναγνώριση.
Το κακόβουλο λογισμικό χρησιμοποιούσε επίσης τεχνικές αμυντικής αποφυγής. Για παράδειγμα, χρησιμοποιήθηκαν σενάρια AutoIt για την αναγνώριση λογισμικού προστασίας από ιούς στο σύστημα και την αποφυγή εντοπισμού. Επιπλέον, λήφθηκαν κακόβουλα αρχεία και εξήχθησαν σε κρυφούς καταλόγους στον παραβιασμένο μηχάνημα.
Ένα ιδιαίτερα κακόβουλο αρχείο, το SystemCert.exe, δημιούργησε πρόσθετα σενάρια και εκτελέσιμα αρχεία σε προσωρινούς φακέλους. Αυτά τα αρχεία διευκόλυναν περαιτέρω κακόβουλη δραστηριότητα, συμπεριλαμβανομένης της σύνδεσης σε διακομιστή C2 και της λήψης πρόσθετων ωφέλιμων φορτίων.
Ευτυχώς, αυτή η επίθεση αναχαιτίστηκε πριν συμβεί οποιαδήποτε διείσδυση δεδομένων. Η ανάλυση της βασικής αιτίας αποκάλυψε ότι δεν κλάπηκαν ευαίσθητες πληροφορίες, ενώ δημιουργήθηκαν μόνιμα αρχεία και καταχωρίσεις μητρώου στον υπολογιστή του θύματος. Ωστόσο, αυτό το περιστατικό υπογραμμίζει την κρίσιμη ανάγκη για ισχυρά μέτρα ασφαλείας.
Δείτε επίσης: Microsoft Outlook, Exchange και Teams αντιμετωπίζουν παγκόσμιο blackout
Πώς θα προστατευτείτε
Για την ασφάλεια των προσωπικών και επαγγελματικών σας δεδομένων, είναι απαραίτητο να προσέχετε για πιθανές μη εξουσιοδοτημένες αποπειρές απομακρυσμένης πρόσβασης. Βεβαιωθείτε ότι οι συνδέσεις σας είναι ασφαλείς και ότι χρησιμοποιείτε μόνο εξουσιοδοτημένο λογισμικό και εργαλεία για την απομακρυσμένη πρόσβαση στα συστήματά σας. Μην αποκαλύπτετε τα προσωπικά σας στοιχεία ή τα συνθήματα πρόσβασης σε ανεπιθύμητα άτομα και επιβλέπετε πάντα τις συνδέσεις σας. Εάν διαπιστώσετε οποιαδήποτε ανωμαλία ή μη εξουσιοδοτημένη απόπειρα πρόσβασης, ενημερώστε αμέσως τον υπεύθυνο ασφάλειας της εταιρείας σας. Μείνετε προσεκτικοί και προστατεύστε την απομακρυσμένη πρόσβασή σας από απειλές και ανεπιθύμητη δραστηριότητα.
Πηγή: cybersecuritynews