Компания Microsoft сообщает, что брокер доступа, известный своим сотрудничеством с группами разработчиков вымогательского ПО, недавно перешел на фишинговые атаки в Microsoft Teams для проникновения в корпоративные сети.
Финансово мотивированная группа, стоящая за этой кампанией, отслеживается как Storm-0324 - вредоносный агент, известный тем, что в прошлом развертывал рандомные программы Sage и GandCrab.
Storm-0324 также предоставлял известной киберпреступной группировке FIN7 доступ к корпоративным сетям после их компрометации с помощью JSSLoader, Gozi и Nymaim.
FIN7 (также известная как Sangria Tempest и ELBRUS) была замечена в развертывании в сетях жертв вымогательского ПО Clop. Ранее она также была связана с программами Maze и REvil, а также с ныне не существующими операциями BlackMatter и DarkSide, предоставляющими услуги по борьбе с вымогательством (Raas).
"В июле 2023 года Storm-0324 начал использовать фишинговые приманки, рассылаемые через Teams с вредоносными ссылками, ведущими на вредоносный файл, размещенный в SharePoint", - говорится в сообщении Microsoft, опубликованном во вторник.
"Для этой деятельности Storm-0324, скорее всего, использовал общедоступный инструмент под названием TeamsPhisher".
Этот инструмент с открытым исходным кодом позволяет злоумышленникам обходить ограничения на входящие файлы от внешних арендаторов и отправлять фишинговые вложения пользователям Teams.
Для этого используется обнаруженная исследователями Jumpsec проблема безопасности в Microsoft Teams, которую компания Microsoft отказалась устранять в июле, заявив, что она "не соответствует требованиям для немедленного обслуживания".
Тем не менее, эта проблема была использована APT29, хакерским подразделением Службы внешней разведки России (СВР), в атаках на десятки организаций, включая государственные учреждения по всему миру.
Хотя в этот раз Microsoft не предоставила подробностей о конечной цели атак Storm-0324, атаки APT29 были направлены на кражу учетных данных целей после того, как они обманом заставляли их одобрить запросы многофакторной аутентификации (MFA).
Сегодня компания заявила, что с тех пор она работает над пресечением этих атак и защитой клиентов Teams.
"Microsoft очень серьезно относится к подобным фишинговым кампаниям и выпустила ряд улучшений для более эффективной защиты от этих угроз", - говорится в сообщении Microsoft.
По словам представителей Редмонда, угрозы, использующие тактику фишинга в Teams, теперь распознаются как "ВНЕШНИЕ" пользователи, когда в настройках организации включен внешний доступ.
"Мы также внесли улучшения в работу функции "Принять/заблокировать" в чатах один на один в Teams, чтобы подчеркнуть внешнюю связь между пользователем и его адресом электронной почты, чтобы пользователи Teams могли лучше проявлять осторожность и не взаимодействовать с неизвестными или вредоносными отправителями", - говорится в сообщении Microsoft.
"Мы ввели новые ограничения на создание доменов в рамках арендаторов и улучшили уведомления администраторов арендаторов о создании новых доменов в рамках их арендаторов".
После обнаружения фишинговых атак Storm-0324 на Teams компания Microsoft приостановила работу всех арендаторов и учетных записей, которые они использовали в этой кампании.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!