Недавний отчет компании Sophos показывает, что киберугрозы, связанные с программами-вымогателями и хакерскими группами, стали более изощренными. С помощью инструмента Sophos Managed Detection and Response (MDR) исследователи анализа угроз скоординировали свои усилия по выявлению двух отдельных киберугроз, использующих Microsoft Office 365 для атак на организации с целью кражи данных и распространения вредоносного программного обеспечения.
Обнаруженные кластеры угроз
Кластеры угроз обозначены как STAC5143 и STAC5777. Они имеют собственные клиенты служб Office 365 и активно используют Microsoft Teams для организации взаимодействий с внутренними пользователями. Важно отметить, что:
- STAC5777 пересекается с известной хакерской группой;
- STAC5143 представляет собой новый кластер угроз, следуя схемам Storm-1811 и имея потенциальные связи с хакерами, такими как FIN7, Sangria Tempest и Carbon Spider.
Методы атак
Цель данного отчета — помочь специалистам по кибербезопасности оставаться на шаг впереди перед угрозами, демонстрируя тактики, используемые хакерами. Обычно инциденты начинаются с того, что целевые пользователи получают большое количество спам-писем. Далее следует:
- Звонок от внешней команды под видом внутренней ИТ-команды;
- Инструкции по разрешению сеансов удаленного управления с использованием Teams.
Эти действия позволяют злоумышленникам внедрять вредоносное ПО, главным образом бэкдоры на базе Python. Хакеры применяют множество методов, включая:
- взлом электронной почты;
- социальную инженерию;
- использование легитимных сервисов Office 365;
- развертывание средств удаленного управления;
- утечку данных.
Технические детали атак
Злоумышленники комбинируют легальные инструменты Microsoft с вредоносными программами для получения контроля над целевыми устройствами. Они используют:
- Quick Assist для удаленного доступа;
- команды PowerShell;
- вредоносные библиотеки DLL для хранения данных и кражи учетных данных.
Также хакеры стараются отключить механизмы безопасности, такие как многофакторная аутентификация, а также вмешиваются в программное обеспечение безопасности. В некоторых случаях они внедряют программы-вымогатели, такие как Black Basta, используя сильно зашифрованные командно-контрольные соединения с удаленными хостами, включая виртуальные частные серверы в различных странах.
Рекомендации для организаций
Для предотвращения подобных атак Sophos разработала следующие рекомендации:
- Ограничение доступа к приложениям удаленного доступа, таким как Quick Assist;
- Мониторинг входящих команд и трафика Outlook на наличие потенциальных угроз;
- Внедрение специальных средств обнаружения выявленных вредоносных программ.
Организациям необходимо значительно укрепить свои меры безопасности, отслеживать подозрительные действия и быть в курсе меняющихся тактик, используемых злоумышленниками для атак на среды Microsoft Office 365.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ новых угроз в Microsoft Office 365: Storm-1811 и Black Basta".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.