Запрошення на дзвінок Teams, на якому IT-спеціалісти обіцяють усунути спам, може бути зовсім не таким, яким здається.
Дві кампанії програм-вимагачів зловживають Microsoft Teams, щоб заражати організації та викрадати дані, і шахраї можуть мати зв’язки з Black Basta та FIN7, згідно з Sophos.
Команда керованого виявлення та реагування (MDR) виробника антивірусів почала досліджувати дві окремі кампанії в листопаді та грудні. Обидві команди програм-вимагачів, які Sophos називає STAC5143 і STAC5777, керували власними клієнтами служби Microsoft Office 365 для цих атак, а також зловживали конфігурацією Teams за замовчуванням, яка дозволяє зовнішнім користувачам ініціювати зустрічі чи чати з внутрішніми.
Нам повідомляють, що STAC5777 збігається з групою, яку Microsoft відстежує як Storm-1811, яка раніше була помічена у зловживанні додатком Microsoft Quick Assist для розгортання програм-вимагачів Black Basta.
Друга група, STAC5143, може мати зв’язки з російським FIN7, який також називають Sangria Tempest або Carbon Spider.
Однак, хоча деякі зловмисне програмне забезпечення, використане під час двох недавніх атак STAC5143, було схоже на те, що використовувалося FIN7, «цей ланцюжок атак був іншим і націлені на менші організації та в інших бізнес-секторах, ніж звичайні жертви FIN7», – вважає мисливець за загрозами Sophos Марк Парсонс. Колін Коуї, Деніел Соутер, Хантер Ніл, Ентоні Бредшоу та Шон Галлахер заявили у звіті 16 січня.
Від електронного спаму до захоплення пристрою
STAC5143 вперше з’явився на радарі команди Sophos у листопаді, коли клієнт повідомив про отримання понад 3000 спам-повідомлень протягом 45 хвилин.
Невдовзі після цього клієнт отримав дзвінок Microsoft Teams із-за меж організації з підробленого облікового запису «Менеджера служби підтримки». Під час розмови фальшива служба підтримки наказала працівнику дозволити сеанс дистанційного керування екраном через Teams. Потім зловмисник використав цей доступ, щоб відкрити командну оболонку, скинути деякі файли та запустити шкідливе програмне забезпечення на комп’ютері жертви.
Зокрема, один із видалених файлів був архівом .jar із кодом Java, запущеним без консольного виведення законною програмою javaw.exe, яка, у свою чергу, виконувала команди PowerShell і завантажувала архів 7zip і утиліту архівування 7zip; розархівований архів містив виконуваний файл ProtonVPN і шкідливу DLL (nethost.dll), завантажену збоку виконуваним файлом Proton.
Після запуску виконуваного файлу ProtonVPN для стороннього завантаження nethost.dll зловмисники підключилися до віртуальних приватних серверів, розміщених у Росії, Нідерландах і США, що зрештою запустило інструменти захисту кінцевих точок Sophos (використання підозріло непідписаної DLL, ми розказав).
Код Java також провів певну розвідувальну роботу, в основному з’ясувавши ім’я облікового запису користувача та локальну мережу, а зрештою видобув і запустив із видаленого архіву winter.zip корисне навантаження, яке містило бекдор на основі Python для дистанційного керування комп’ютером Windows. Код Python містив лямбда-функцію для обфускації зловмисного програмного забезпечення, яке відповідало раніше поміченим завантажувачам зловмисного програмного забезпечення Python, пов’язаним із FIN7.
Дві інші частини коду Python, вилучені зловмисним програмним забезпеченням, включали копії загальнодоступного зворотного SOCKS-проксі під назвою RPivot, який FIN7 також використовував у своїх попередніх атаках.
«Sophos із середньою достовірністю оцінює, що зловмисне програмне забезпечення Python, використане в цій атаці, пов’язане з загрозливими суб’єктами, що стоять за FIN7/Sangria Tempest», — зазначили респонденти.
STAC5777 виявив розгортання програми-вимагача Black Basta
Подібним чином атаки STAC5777 почалися з величезної кількості спаму, надісланого цільовим організаціям, а потім повідомлень Teams, нібито від внутрішньої команди ІТ. Ці повідомлення вимагали виклику Teams, щоб зупинити спам.
«Але на відміну від інцидентів STAC5143, які ми спостерігали, діяльність STAC5777 значно більше покладалася на дії «руки на клавіатурі» та сценарні команди, які безпосередньо запускали загрозливі суб’єкти, ніж STAC5143», — повідомила команда Sophos.
У кожному з цих випадків зловмисники направляли жертву через установку та запуск інструменту віддаленого доступу Microsoft Quick Assist, який потім давав їм контроль над пристроєм жертви.
Взявши під контроль машину Windows, зловмисники завантажили корисне навантаження, що містило, серед іншого, шкідливу DLL, winhttp.dll, яка збирала інформацію про систему, ОС і конфігурацію користувача та зберігала облікові дані; плюс натискання клавіш.
Зловмисники також завантажили непідписані DLL-файли, отримані з набору інструментів OpenSSL, які потім використовувалися законним процесом Windows OneDriveStandaloneUpdater.exe для випадкового встановлення зашифрованих командно-контрольних (C2) з’єднань із віддаленими хостами, включаючи віртуальний приватний сервер, пов’язаний з інфраструктурою. прихильність російських злочинців.
Після встановлення зв’язку C2 процес OneDriveStandaloneUpdater.exe було зроблено для сканування протоколу віддаленого робочого стола та хостів віддаленого керування Windows (WinRM), до яких можна отримати доступ за допомогою викрадених облікових даних жертв.
Потім зловмисники спробували перейти вбік до інших хостів. В одному випадку вони використали бекдор, щоб деінсталювати інтеграцію локальної багатофакторної автентифікації на скомпрометованому пристрої.
Компанія Sophos також спостерігала за злочинцями, які підхоплювали локальні файли, які містили слово «пароль» у назві документа. Крім того, в одному випадку, який, як запевняє Sophos, було заблоковано засобами безпеки, STAC5777 спробував заразити машину програмою-вимагачем Black Basta.
Програми-вимагачі роблять це особистим для читачів Reg, видаючи себе за технічну підтримку
