Sophos MDR: выявление и реагирование на угрозы в Microsoft Office 365
Подразделение управляемого обнаружения и реагирования (MDR) компании Sophos X-Ops активно работает над устранением инцидентов, связанных с двумя отдельными группами злоумышленников, которые использовали функциональность платформы Microsoft Office 365 для получения доступа к целевым организациям с целью кражи данных и развертывания программ-вымогателей.
Расследование этих двух кластеров активности началось в ноябре и декабре 2024 года в ответ на инциденты, которые произошли у клиентов Sophos. Компания отслеживает эти угрозы как STAC5143 и STAC5777. Оба субъекта угроз использовали собственные арендаторы служб Microsoft Office 365 в своих атаках и применяли конфигурацию Microsoft Teams по умолчанию, которая позволяет пользователям на внешних доменах инициировать чаты или встречи с внутренними пользователями.
STAC5777 имеет пересечения с группой угроз, ранее идентифицированной Microsoft как Storm-1811. STAC5143 — это новый кластер угроз, который копирует сценарий Storm-1811 и, возможно, связан с субъектами, известными как FIN7, Sangria Tempest или Carbon Spider.
Мы публикуем этот подробный отчет по обоим кластерам угроз, чтобы помочь защитникам обнаружить и заблокировать эти продолжающиеся угрозы, а также повысить осведомленность о распространении этой тактики среди организаций, использующих платформу Office 365.
За последние три месяца Sophos MDR зафиксировала более 15 инцидентов, связанных с этой тактикой, причем половина из них произошла за последние две недели.
Распространенные тактики включают в себя:
Email-бомбардировка— целенаправленная рассылка большого количества спам-сообщений по электронной почте (до 3000 менее чем за час) с целью переполнения почтовых ящиков Outlook нескольких сотрудников организации и создания ощущения срочности. Отправка сообщений Teams и совершение голосовых и видеозвонков Teams из контролируемого злоумышленником экземпляра Office 365 целевым сотрудникам, выдавая себя за техническую поддержку их организации.
*Использование инструментов удаленного управления Microsoft— либо Quick Assist, либо напрямую через общий доступ к экрану Teams — для получения контроля над компьютером целевого лица и установки вредоносного ПО.
STAC5143:* Встроенный пульт дистанционного управления Teams
Архив Java (JAR) и среда выполнения Java, которые автоматизируют эксплуатацию компьютера жертвы JAR извлекает бэкдоры на основе Python из.zip-файла, загруженного по удаленной ссылке SharePoint
*Использует методы и инструменты, связанные с FIN7
STAC5777:* Быстрая помощь Microsoft
Изменение конфигурации клавиатуры и развертывание вредоносного ПО Развертывание легитимного средства обновления Microsoft с вредоносной сторонней загрузкой DLL, которая обеспечивает сохранение, похищает учетные данные и позволяет обнаруживать сетевые ресурсы
Использует RDP и удаленное управление Windows для доступа к другим компьютерам в целевой сети В одном случае был использован вирус-вымогатель Black Basta
Методы, инструменты и процедуры совпадают с идентифицированным Microsoft субъектом угрозы Storm-1811 Очень активный
В отчете подробно описывается тактика двух кластеров угроз, которые следуют версиям одной и той же схемы атак: бомбардировка электронной почты и поддельная техническая поддержка, социальная инженерия с доставкой вредоносного ПО, эксплуатация легитимных сервисов через платформу Microsoft Office 365, а также попытки развертывания инструментов управления и контроля и кражи данных.
· Полный текст статьи основной сайт: https://krakoziaber.blogspot.com/2025/01/sophos-mdr-microsoft-teams.html
-Дополнительная информация: https://krakoziaber.blogspot.com/