ΑρχικήSecurityMicrosoft Teams: Νέες phishing επιθέσεις από συμμορίες ransomware

Microsoft Teams: Νέες phishing επιθέσεις από συμμορίες ransomware

Συμμορίες ransomware χρησιμοποιούν phishing emails και μηνύματα και παρουσιάζονται ως εκπρόσωποι τεχνικής υποστήριξης σε κλήσεις του Microsoft Teams, για να εξαπατήσουν τους υπαλλήλους και να επιτρέψουν τον απομακρυσμένο έλεγχο και την εγκατάσταση κακόβουλου λογισμικού.

Microsoft Teams phishing ransomware

Οι φορείς απειλών στέλνουν χιλιάδες spam μηνύματα σε σύντομο χρονικό διάστημα και στη συνέχεια καλούν τον στόχο από ένα Office 365 instance (που ελέγχεται από τον επιτιθέμενο), προσποιούμενοι ότι παρέχουν υποστήριξη IT.

Αυτή η τακτική χρησιμοποιείται τουλάχιστον από τα τέλη του περασμένου έτους για την ανάπτυξη του Black Basta ransomware. Ωστόσο, ερευνητές της Sophos έχουν δει την ίδια μέθοδο να χρησιμοποιείται και από άλλες ομάδες που ενδέχεται να συνδέονται με την ομάδα FIN7.

Advertisement

Δείτε επίσης: Marina Family Medical: Θύμα της ransomware ομάδας Money Message;

Για να προσεγγίσουν τους υπαλλήλους μιας εταιρείας, οι ransomware ομάδες εκμεταλλεύονται την προεπιλεγμένη διαμόρφωση του Microsoft Teams στον στοχευμένο οργανισμό, που επιτρέπει κλήσεις και συνομιλίες από εξωτερικά domains.

Κακόβουλες καμπάνιες κατάχρησης του Microsoft Teams

Η πρώτη εκστρατεία που ερεύνησε η Sophos έχει συνδεθεί με μια ομάδα που οι ερευνητές παρακολουθούν εσωτερικά ως STAC5143. Οι hackers στέλνουν άπειρα μηνύματα (έως και 3.000 σε 45 λεπτά).

Λίγο αργότερα, ο στοχευμένος υπάλληλος λαμβάνει μια εξωτερική κλήση στο Teams από έναν λογαριασμό που ονομάζεται “Help Desk Manager“. Οι επιτιθέμενοι πείθουν το θύμα να δημιουργήσει μια συνεδρία απομακρυσμένου ελέγχου οθόνης μέσω του Microsoft Teams.

Ο εισβολέας εγκαθιστά ένα Java archive (JAR) file (MailQueue-Handler.jar) και Python scripts (RPivot backdoor) που φιλοξενούνται σε έναν εξωτερικό σύνδεσμο του SharePoint.

Το JAR file εκτελεί εντολές PowerShell για λήψη ενός νόμιμου εκτελέσιμου ProtonVPN που φορτώνει ένα κακόβουλο DLL (nethost.dll). Το DLL δημιουργεί ένα κρυπτογραφημένο κανάλι επικοινωνίας εντολών και ελέγχου (C2) με εξωτερικές διευθύνσεις IP, παρέχοντας στους εισβολείς απομακρυσμένη πρόσβαση στον υπολογιστή που έχει παραβιαστεί.

Δείτε επίσης: Blacon High School: Κλειστό λόγω ransomware επίθεσης

Ο εισβολέας τρέχει, επίσης, το Windows Management Instrumentation (WMIC) και το whoami.exe για να ελέγξει τις λεπτομέρειες του συστήματος. Έπειτα, αναπτύσσει ένα Java malware δεύτερου σταδίου για να εκτελέσει το RPivot – ένα εργαλείο penetration testing που επιτρέπει το SOCKS4 proxy tunneling για την αποστολή εντολών.

Το RPivot έχει χρησιμοποιηθεί στο παρελθόν από τους hackers FIN7. Επιπλέον, οι τεχνικές obfuscation που χρησιμοποιήθηκαν σε αυτή την καμπάνια έχουν παρατηρηθεί σε εκστρατείες της συγκεκριμένης ομάδας.

Ωστόσο, τόσο το RPivot όσο και ο κώδικας για τη μέθοδο obfuscation είναι δημόσια διαθέσιμα. Ως αποτέλεσμα, η Sophos δεν μπορεί να αποδώσει την επίθεση σε μια ομάδα με σιγουριά. Άλλωστε, οι hackers FIN7 έχουν πουλήσει στο παρελθόν τα εργαλεία τους σε άλλες συμμορίες κυβερνοεγκληματιών.

«Η Sophos αξιολογεί με μέτρια σιγουριά ότι το κακόβουλο λογισμικό Python που χρησιμοποιείται σε αυτήν την επίθεση συνδέεται με τους παράγοντες απειλής FIN7/Sangria Tempest», εξηγούν οι ερευνητές.

Η δεύτερη καμπάνια προερχόταν από μια ομάδα που παρακολουθείται ως “STAC5777“. Αυτές οι επιθέσεις ξεκίνησαν επίσης με email bombing και ακολούθησαν μηνύματα του Microsoft Teams, που ισχυρίζονταν ότι προέρχονται από το τμήμα υποστήριξης IT.

Ωστόσο, σε αυτήν την περίπτωση, το θύμα εξαπατάται για να εγκαταστήσει το Microsoft Quick Assist και να δώσει στους εισβολείς πρόσβαση στο πληκτρολόγιο. Στη συνέχεια, είναι σε θέση να κατεβάσουν κακόβουλο λογισμικό που φιλοξενείται στο Azure Blob Storage.

Το κακόβουλο λογισμικό (winhttp.dll) φορτώνεται σε μια νόμιμη διαδικασία Microsoft OneDriveStandaloneUpdater.exe και μια εντολή PowerShell δημιουργεί μια υπηρεσία που το εκκινεί ξανά κατά την εκκίνηση του συστήματος.

Το κακόβουλο DLL καταγράφει τις πληκτρολογήσεις του θύματος μέσω του Windows API και συλλέγει διαπιστευτήρια από αρχεία και το μητρώο. Επίσης, σαρώνει το δίκτυο για πιθανά pivoting points μέσω SMB, RDP και WinRM.

Δείτε επίσης: Η εταιρεία Eurocert.pl θύμα επίθεσης ransomware

Σύμφωνα με τη Sophos, οι hackers STAC5777 προσπάθησαν να αναπτύξουν το Black Basta ransomware στο δίκτυο-στόχο, επομένως ο παράγοντας απειλής πιθανότατα σχετίζεται με κάποιο τρόπο με τη διαβόητη συμμορία ransomware.

Καθώς αυτές οι τακτικές γίνονται πιο διαδεδομένες στον χώρο του ransomware, οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο αποκλεισμού εξωτερικών domains από τα μηνύματα και τις κλήσεις στο Microsoft Teams. Επίσης, συνιστάται η απενεργοποίηση του Quick Assist σε κρίσιμα περιβάλλοντα.

Δεδομένου ότι οι εταιρείες βασίζονται όλο και περισσότερο στην τεχνολογία για τις δραστηριότητές τους, είναι ζωτικής σημασίας να δοθεί προτεραιότητα στην ασφάλεια στον κυβερνοχώρο. Η εκπαίδευση των εργαζομένων, οι τακτικές αξιολογήσεις ασφάλειας, τα σχέδια αντιμετώπισης συμβάντων είναι όλα σημαντικά μέτρα που πρέπει να εφαρμόσουν οι επιχειρήσεις για να μετριάσουν τους κινδύνους που ενέχουν οι συμμορίες ransomware.

Παραμένοντας σε επαγρύπνηση, οι οργανισμοί μπορούν να αμυνθούν καλύτερα από αυτές τις συνεχώς εξελισσόμενες επιθέσεις και να προστατεύσουν τα πολύτιμα περιουσιακά τους στοιχεία.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS