Ο μεσίτης πρόσβασης ransomware κλέβει λογαριασμούς μέσω phishing της Microsoft Teams
Εικόνα: Midjourney
Η Microsoft λέει ότι ένας μεσίτης αρχικής πρόσβασης, γνωστός για τη συν
εργασία
με ομάδες ransomware, μεταπήδησε πρόσφατα σε επιθέσεις phishing της Microsoft
Teams
για να παραβιάσει τα εταιρικά δίκτυα.
Η ομάδα απειλών με οικονομικά κίνητρα πίσω από αυτήν την καμπάνια παρακολουθείται ως Storm-0324, ένας κακόβουλος παράγοντας που είναι γνωστό ότι έχει αναπτύξει ransomware Sage και GandCrab στο παρελθόν.
Το Storm-0324 παρείχε επίσης πρόσβαση στη διαβόητη συμμορία εγκλήματος στον κυβερνοχώρο FIN7 σε εταιρικά δίκτυα αφού τα παραβίασε χρησιμοποιώντας τα JSSLoader, Gozi και Nymaim.
Το FIN7 (γνωστό και ως Sangria Tempest και ELBRUS) εμφανίστηκε να
αναπτύσσει
ransomware Clop σε δίκτυα θυμάτων. Ήταν επίσης
προηγουμένως συνδεδεμένο
στο ransomware Maze και REvil πριν από τις πλέον ανενεργές λειτουργίες BlackMatter και DarkSide ransomware-as-a-
service
(Raas).
“Τον Ιούλιο του
2023
, το Storm-0324 άρχισε να χρησιμοποιεί θέλγητρα phishing που αποστέλλονται μέσω Teams με κακόβουλους συνδέσμους που οδηγούν σε ένα κακόβουλο αρχείο που φιλοξενείται στο SharePoint”, δήλωσε η Microsoft την Τρίτη.
“Για αυτή τη δραστηριότητα, το Storm-0324 πιθανότατα βασίζεται σε ένα δημοσίως διαθέσιμο εργαλείο που ονομάζεται TeamsPhisher.”
Αυτό το εργαλείο ανοιχτού κώδικα επιτρέπει στους εισβολείς να παρακάμπτουν τους περιορισμούς για εισερχόμενα αρχεία από εξωτερικούς ενοικιαστές και να στέλνουν συνημμένα ηλεκτρονικού “ψαρέματος” στους χρήστες του Teams.
Αυτό το κάνει εκμεταλλευόμενο ένα ζήτημα ασφαλείας στο Microsoft Teams που ανακαλύφθηκε από ερευνητές ασφαλείας της Jumpsec και το οποίο η Microsoft αρνήθηκε να αντιμετωπίσει τον Ιούλιο, αφού είπε ότι το ελάττωμα “δεν πληρούσε τον πήχη για άμεση εξυπηρέτηση”.
Ωστόσο, το ζήτημα αξιοποιήθηκε επίσης από το APT29, το τμήμα χάκερ της Ρωσικής Υπηρεσίας Εξωτερικών Πληροφοριών (SVR), σε επιθέσεις εναντίον δεκάδων οργανισμών, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών σε όλο τον κόσμο.
Αν και αυτή τη φορά η Microsoft δεν παρείχε λεπτομέρειες σχετικά με τον τελικό στόχο των επιθέσεων του Storm-0324, οι επιθέσεις του APT29 στόχευαν να κλέψουν τα διαπιστευτήρια των στόχων αφού τους ξεγέλασαν να εγκρίνουν τα μηνύματα ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Μήνυμα ηλεκτρονικού ψαρέματος APT29 Teams (Microsoft)
Σήμερα, η εταιρεία είπε ότι από τότε εργάζεται για να βάλει τέλος σε αυτές τις επιθέσεις και να προστατεύσει τους πελάτες της Teams.
“Η Microsoft λαμβάνει πολύ σοβαρά υπόψη αυτές τις εκστρατείες ηλεκτρονικού “ψαρέματος” και έχει αναπτύξει αρκετές βελτιώσεις για την καλύτερη άμυνα έναντι αυτών των απειλών.”
είπε η Microsoft
.
Σύμφωνα με τον Redmond, οι φορείς απειλών που χρησιμοποιούν αυτές τις τακτικές phishing του Teams αναγνωρίζονται πλέον ως “ΕΞΩΤΕΡΙΚΟΙ” χρήστες όταν η εξωτερική πρόσβαση είναι ενεργοποιημένη στις ρυθμίσεις ενός οργανισμού.
“Έχουμε επίσης αναπτύξει βελτιώσεις στην εμπειρία Αποδοχής/Αποκλεισμού σε συνομιλίες ένας προς έναν στο Teams, για να τονίσουμε την εξωτερικότητα ενός χρήστη και τη διεύθυνση ηλεκτρονικού ταχυδρομείου του, ώστε οι χρήστες του Teams να είναι πιο προσεκτικοί, μην αλληλεπιδρούν με άγνωστους ή κακόβουλους αποστολείς. ” είπε η Microsoft.
“Εξαπλώσαμε νέους περιορισμούς στη δημιουργία τομέων εντός των ενοικιαστών και βελτιώσαμε τις ειδοποιήσεις προς τους διαχειριστές ενοικιαστών όταν δημιουργούνται νέοι τομείς εντός του μισθωτή τους.”
Αφού εντόπισε τις επιθέσεις phishing του Teams του Storm-0324, η Microsoft ανέστειλε όλους τους ενοικιαστές και τους λογαριασμούς που χρησιμοποιούσαν στην καμπάνια.
