Банды программ-вымогателей все чаще прибегают к атакам по электронной почте, а затем выдают себя за техподдержку в звонках Microsoft Teams, чтобы обманом заставить сотрудников разрешить удаленное управление и установить вредоносное ПО, обеспечивающее доступ к сети компании.
Злоумышленники рассылают тысячи спам-сообщений в течение короткого периода времени, а затем звонят цели из контролируемого злоумышленником экземпляра Office 365, делая вид, что предоставляют ИТ-поддержку.
Эта тактика наблюдалась с конца прошлого года в но исследователи из компании Sophos, занимающейся кибербезопасностью, заметили, что тот же метод используется другими злоумышленниками, которые могут быть связаны с .
Чтобы связаться с сотрудниками компании, хакеры используют конфигурацию Microsoft Teams по умолчанию в целевой организации, которая разрешает звонки и чаты из внешних доменов.
Наблюдаемая активность
Первая кампания, которую расследовала Sophos, была связана с группой, которую исследователи отслеживают внутри компании как STAC5143. Хакеры начали с отправки по электронной почте огромного количества сообщений — до 3000 за 45 минут.
Вскоре после этого целевой сотрудник получил внешний звонок в Teams от учетной записи под названием «Менеджер службы поддержки». Злоумышленник убедил жертву настроить сеанс удаленного управления экраном через Microsoft Teams.
Злоумышленник сбросил файл архива Java (JAR) (MailQueue-Handler.jar) и сценарии Python (бэкдор RPivot), размещенные по внешней ссылке SharePoint.
Файл JAR выполнял команды PowerShell для загрузки законного исполняемого файла ProtonVPN, который загружал вредоносную DLL (nethost.dll).
DLL создает зашифрованный канал связи управления и контроля (C2) с внешними IP-адресами, предоставляя злоумышленникам удаленный доступ к скомпрометированному компьютеру.
Злоумышленник также запустил инструментарий управления Windows (WMIC) и whoami.exe для проверки сведений о системе и развернул вредоносное ПО Java второго уровня для выполнения RPivot — инструмента тестирования на проникновение, который позволяет туннелировать прокси-сервер SOCKS4 для отправки команд.
Источник: Софос
RPivot использовался в прошлом в атаках FIN7. Кроме того, используемые методы запутывания ранее уже наблюдались в кампаниях FIN7.
Однако, поскольку и RPivot, и код метода обфускации общедоступны, Sophos не может с высокой степенью уверенности связать атаки STAC5143 с деятельностью FIN7, тем более что известно, что FIN7 в прошлом продавала свои инструменты другим бандам киберпреступников.
«Sophos со средней степенью уверенности оценивает, что вредоносное ПО Python, использованное в этой атаке, связано с злоумышленниками, стоящими за FIN7/Sangria Tempest», — .
Поскольку атака была остановлена до достижения финальной стадии, исследователи полагают, что целью хакеров было украсть данные, а затем развернуть программу-вымогатель.
Вторая кампания была от группы, отслеживаемой как STAC5777. Эти атаки также начались с бомбардировки электронной почты, за которой последовали сообщения Microsoft Teams, якобы отправленные из отдела ИТ-поддержки.
Однако в этом случае жертву обманом заставляют установить Microsoft Quick Assist, чтобы предоставить злоумышленникам практический доступ к клавиатуре, которую они использовали для загрузки вредоносного ПО, размещенного в хранилище BLOB-объектов Azure.
Вредоносная программа (winhttp.dll) загружается в легитимный процесс Microsoft OneDriveStandaloneUpdater.exe, а команда PowerShell создает службу, которая перезапускает ее при запуске системы.
Вредоносная DLL регистрирует нажатия клавиш жертвы через Windows API, собирает сохраненные учетные данные из файлов и реестра и сканирует сеть на наличие потенциальных точек поворота через SMB, RDP и WinRM.
Компания Sophos наблюдала за попыткой STAC5777 внедрить в сети программу-вымогатель Black Basta, поэтому злоумышленник, скорее всего, каким-то образом связан с печально известной бандой вымогателей.
Исследователи заметили, что злоумышленник получил доступ к локальным документам Блокнота и Word, в имени файла которых было слово «пароль». Хакеры также получили доступ к двум файлам протокола удаленного рабочего стола, вероятно, в поисках возможных местоположений учетных данных.
Поскольку эта тактика становится все более распространенной в области программ-вымогателей, организациям следует рассмотреть возможность блокировки внешних доменов от отправки сообщений и вызовов в Microsoft Teams, а также отключения Quick Assist в критических средах.
