Новая тактика Storm-0324 для взлома сетей: Microsoft Teams вместо электронной почты

Microsoft предупредила о новой фишинговой кампании, которая использует Microsoft Teams в качестве платформы для проникновения в корпоративные сети. Команда Microsoft Threat Intelligence отслеживает кластер угроз под названием Storm-0324, также известный как TA543 и Sagrid.

Специалисты отмечают, что с июля 2023 года Storm-0324 изменила методы атаки. Если ранее главным вектором заражения служила электронная почта, то теперь злоумышленники активно используют чаты Microsoft Teams. Средством доставки вредоносных программ служит open source инструмент, позволяющий отправлять фишинговые сообщения напрямую через платформу.

Storm-0324 предоставляет услуги по распространению вредоносных программ, включая банковские трояны и программы-вымогатели. В прежних атаках киберпреступники использовали фишинговые письма с документами-приманками в виде счетами-фактурами и другими финансовыми документами. Новый метод атаки, использующий Microsoft Teams, ставит под угрозу корпоративные сети на новом уровне, т.к. многие компании полагаются на эту платформу для внутренней и внешней коммуникации.

По данным Microsoft, Storm-0324 является брокером начального доступа (Initial Access Brokers, IAB) и продаёт доступ к скомпрометированным сетям. Так, полученный доступ в данной кампании открывает возможность другим киберперступным группировкам выполнять действия постэксплуатации и развертывать различное вредоносное ПО, включая программы-вымогатели.

В июле 2023 года метод работы был обновлен: приманки для фишинга рассылаются через Teams с вредоносными ссылками, ведущими на вредоносный ZIP-файл, размещенный на SharePoint. Это достигается за счет использования инструмента с открытым исходным кодом под названием TeamsPhisher , который позволяет пользователям Teams прикреплять файлы к сообщениям, отправляемым внешним пользователям . Инструмент использует не устранённую проблему безопасности сервиса для обхода запрета на связь с внешними пользователями за пределами целевой организации.

Microsoft внесла несколько улучшений в систему безопасности, чтобы блокировать угрозу, и заблокировала определенные учетные записи и клиентов, связанных с подозрительной или мошеннической активностью. Компания акцентирует внимание на том, что идентификация и устранение активности Storm-0324 может предотвратить более опасные последующие атаки, такие как вымогательство данных.