黑客利用Microsoft Teams进行盗窃账户

VSole2023-09-25 10:06:58

微软针对网络犯罪分子开展的一项新的钓鱼活动发出了警告。该攻击利用了 Teams 消息作为诱饵,潜入企业网络内收集敏感的数据。

在谷歌威胁情报团队的控制下,该犯罪分子被命名为 Storm-0324,并以 TA543 、Sigrid或者别名 Storm-0324 进行密切监控。微软的安全研究人员注意到,Storm-0324 这个有经济犯罪动机的网络组织已经开始使用 Teams 来锁定潜在的受害者,他们认为这是一种很容易访问受害者计算机系统的手段。 

作为网络经济犯罪中的有效载荷分发者,Storm-0324 提供的服务可以规避感染链,并以此传播用于攻击的各种有效载荷。本研究发现恶意软件类型多种多样,其中包括下载器、银行木马、勒索软件以及各种模块化的工具包,如 Nymaim、Gozi、TrickBot、IcedID、Gootkit、Dridex、Sage、GandCrab 和 JSSLoader。 

攻击者过去曾使用以发票和付款单作为诱饵的电子邮件,诱骗用户下载带有 JSSLoader 的 ZIP托管文件,JSSLoader 是一种恶意软件加载器,能够在受感染的机器上配置和加载额外的有效载荷。

据微软称,Storm-0324 也是一个恶意软件分发者,并为其他的恶意软件作者分发有效载荷。该团伙采用了各种规避策略,并利用付款和发票引诱受害者上当。事实证明,该团伙曾为 FIN7 和 Cl0p 这两个著名的俄罗斯网络犯罪团伙分发过恶意软件。

据发现,Storm-0324 还负责在 Teams 上传播网络钓鱼诈骗。网络犯罪分子利用 TeamsPhisher 来扩大网络钓鱼攻击的规模,它允许团队租户将文件附加发送给外部租户的消息内。

攻击者向受害者发送链接,引导他们访问托管的恶意 SharePoint 文件。微软此前曾表示,导致这些攻击的 Microsoft Teams 漏洞尚未达到立即修复的程度。

企业管理员可以通过修改安全设置,只允许某些域与员工进行通信,或者让租户无法与员工在其办公场所以外的地方进行联系,这样可以最大限度地降低这种风险。 

此外,微软还解释说,目前它已进行了多项改进,确保自己免受此类威胁,并提高防御能力。他们还增强了 Teams 一对一聊天中的 "接受/阻止"(Accept/Block)功能,并冻结了存在欺诈行为的账户和租户。 

通过这种方式,可以提醒团队用户注意电子邮件地址是否合法,从而在与未知的或恶意发件的人进行交互时更加的谨慎,避免与这些用户进行交互。此外,微软还增强了租户管理员在租户中创建新域时的通知功能,这可以使他们能够监控这些租户是否已经创建了新的域。

据悉,该组织在其网络钓鱼攻击中利用了先前被入侵的 Microsoft 365 实例(其中大部分属于小型企业)来创建新域,不过这些新域看起来像是小型企业的技术支持帐户。

然后这些人随后会被该攻击者说服,批准攻击者通过Teams消息发起的多因素身份验证提示,使用已重命名并用于设置实例的新 onmicrosoft.com 子域。

如果目前用户没有创建自定义的域名,Microsoft 365 就会使用 onmicrosoft.com 域名作为后备域名。为了提高以技术支持为主题的信息的可信度,攻击者通常会在这些子域名中使用安全术语或特定产品名称作为诱饵。

软件黑客
本作品采用《CC 协议》,转载必须注明作者和本文链接
到目前为止,已经确定了六个不同的恶意软件变种。使用 AuKill 的威胁分子在攻击期间充分利用了现有的特权,他们通过其他手段获得了这些特权。2022 年 11 月,Sophos 也详细披露了 LockBit 加盟组织使用一种名为 Backstab 的开源工具,该工具滥用这个驱动程序的过时版本来终止受保护的反恶意软件进程。
暴露在互联网上的未修补的 Citrix NetScaler 系统正被未知威胁行为者作为目标,这被怀疑是勒索软件攻击。
近日,VMware (VMW.N) ESXi 服务器的全球勒索软件黑客攻击已将数千台计算机服务器作为目标。
近三个月前,WannaCry勒索软件关闭了世界各地的医院、电信提供商和许多企业,感染了150多个国家的数十万台计算机,对文件进行加密,然后向受害者收取300至600美元的密钥费用。根据追踪WannaCry赎金支付的Twitter机器人,只有338名受害者支付了300美元的比特币,总计14万美元。虽然大多数受影响的组织现已恢复正常,但世界各地的执法机构仍在追捕中。
澳大利亚内政部长 Clare O’Neil 表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击,攻击者窃取了近千万用户赎金,并按照每位用户数据一美元的价格勒索千万美元。
邮政警察正在调查有关意大利税务机构 l'Agenzia delle Entrate 成为网络攻击的受害者的报道,其中大约78千兆数据被盗。勒索软件黑客盯上意大利税务机关 意大利安莎社报道,据报道,这次攻击是由国际勒索软件黑客组织 LockBit 发起的。IT 安全公司 Swascan 表示,LockBit 在暗网上宣布,它已给内陆税收机构五天的时间支付赎金或查看被盗文件的公布。
2021年7月28日,国际网络安全媒体ThreatPost发布报告称,新出现的勒索软件黑客组织“Haron”和“BlackMatter”疑似与黑客组织“Avaddon”、“DarkSide”和“REvil”存在联系。
莫斯科最近开通了第一个缆车服务,在运行的几天后,缆车系统被黑客入侵,系统的主计算机感染了勒索软件黑客发送消息要求用比特币支付赎金,以解密缆车运营所需的所有电子文件,赎金的数额取决于对支付的反应速度。目前该缆车服务已关闭。
医疗行业网络安全建设长期面临挑战
VSole
网络安全专家