Microsoft varuje před novou phishingovou kampaní zaměřenou na firmy prostřednictvím zpráv Teams

by | Zář 27, 2023 | Aktuální hrozby, Bezpečná firma, Nejnovější | 0 comments

Společnost Microsoft varuje před novou phishingovou kampaní zprostředkovatele počátečního přístupu, která využívá zprávy aplikace Teams jako návnady k průniku do firemních sítí. 

Tým Threat Intelligence technologického giganta sleduje cluster pod názvem Storm-0324, který je známý také pod přezdívkami TA543 a Sagrid.

“Od července 2023 bylo pozorováno, že Storm-0324 distribuuje užitečné soubory pomocí open-source nástroje pro zasílání phishingových návnad prostřednictvím chatů Microsoft Teams,” uvedla společnost a dodala, že tento vývoj znamená odklon od používání počátečních vektorů infekce založených na e-mailu pro počáteční přístup.

Storm-0324 působí v ekonomice kyberzločinu jako distributor payloadů a nabízí službu, která umožňuje šíření různých payloadů pomocí únikových infekčních řetězců. Jedná se o kombinaci downloaderů, bankovních trojských koní, ransomwaru a modulárních toolkitů, jako jsou Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab a JSSLoader.

Útočné sekvence, které tento aktér v minulosti připravil, využívaly e-mailové zprávy s tématikou faktur a plateb, které uživatele oklamaly a přiměly je stáhnout archivní soubory ZIP poskytované službou SharePoint, které distribuovaly JSSLoader, nosič malwaru schopný profilovat infikované počítače a načítat další payloady.

“Řetězce e-mailů tohoto útočníka jsou špatně detekovatelné a využívají systémy distribuce provozu (TDS), jako jsou BlackTDS a Keitaro, které poskytují identifikační a filtrační funkce pro přizpůsobení provozu uživatelů,” uvedla společnost Microsoft.

“Tato schopnost filtrování umožňuje útočníkům vyhnout se detekci určitých IP rozsahů, které by mohly být bezpečnostními řešeními, jako jsou sandboxy pro malware, a zároveň úspěšně přesměrovat oběti na své škodlivé stránky ke stažení.”

Přístup umožněný malwarem otevírá cestu aktérovi ransomware-as-a-service (RaaS) Sangria Tempest (známému také jako Carbon Spider, ELBRUS a FIN7) k provádění akcí po exploitaci a nasazení malwaru šifrujícího soubory.

Modus operandi od té doby získal vylepšenou podobu z července 2023, kdy jsou phishingové návnady zasílány přes Teams se škodlivými odkazy vedoucími ke škodlivému souboru ZIP hostovanému na SharePointu.

Toho je dosaženo využitím open-source nástroje TeamsPhisher, který umožňuje uživatelům nájemců služby Teams připojovat soubory ke zprávám odesílaným externím nájemcům se zneužitím chyby v programu, na kterou poprvé upozornil JUMPSEC v červnu 2023.

Stojí za zmínku, že podobnou techniku použil v květnu 2023 ruský státní aktér APT29 (známý také jako Midnight Blizzard) při útocích zaměřených na přibližně 40 organizací po celém světě.

Společnost uvedla, že provedla několik bezpečnostních vylepšení, aby hrozbu zablokovala, a že “pozastavila identifikované účty a nájemce spojené s neautentickým nebo podvodným chováním”.

“Protože Storm-0324 předává přístup dalším aktérům hrozeb, identifikace a náprava aktivity Storm-0324 může zabránit nebezpečnějším následným útokům, jako je ransomware,” upozornil dále Microsoft.

Toto odhalení přichází v době, kdy společnost Kaspersky podrobně popsala taktiku, techniky a postupy nechvalně známé skupiny ransomwaru známé jako Cuba (také známé jako COLDDRAW a Tropical Scorpius), spolu s identifikací nového pseudonymu s názvem “V Is Vendetta”, u kterého existuje podezření, že jej používala podskupina nebo pobočka.

Tato skupina, podobně jako systémy RaaS, využívá obchodní model dvojího vydírání k útokům na četné společnosti po celém světě a k vytváření nezákonných zisků.

Vstupní cesty zahrnují zneužití ProxyLogon, ProxyShell, ZeroLogon a bezpečnostních chyb v softwaru Veeam Backup & Replication k nasazení nástroje Cobalt Strike a vlastního backdooru nazvaného BUGHATCH, který je pak použit k doručení aktualizovaných verzí BURNTCIGAR s cílem ukončit bezpečnostní software běžící na straně hostitele.

“Gang kyberzločinců Cuba používá rozsáhlý arzenál veřejně dostupných i na zakázku vytvořených nástrojů, které neustále aktualizuje, a různé techniky a metody, včetně těch poměrně nebezpečných, jako je BYOVD,” uvedla společnost Kaspersky.

Útoky ransomwaru zaznamenaly v roce 2023 velký nárůst, přičemž britské Národní centrum pro kybernetickou bezpečnost (NCSC) a Národní agentura pro boj proti trestné činnosti (NCA) poznamenaly, že jsou “závislé na složitém dodavatelském řetězci”.

“Zaměření na konkrétní druhy ransomwaru může být v lepším případě matoucí a v horším případě neužitečné,” uvedly agentury ve zprávě zveřejněné počátkem tohoto týdne. “Většina případů ransomwaru není způsobena sofistikovanými technikami útoku; počáteční přístupy k obětem jsou získávány oportunisticky, přičemž úspěch je obvykle výsledkem špatné kybernetické hygieny.”

Jakub Drábek, redakce Cyberblog
Zdroj: The Hacker News
Foto: Bing
0 Comments
Submit a Comment
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.

Microsoft varuje před novou phishingovou kampaní zaměřenou na firmy prostřednictvím zpráv Teams