微軟針對網絡犯罪分子開展的一項新的釣魚活動發出了警告。該攻擊利用了 Teams 消息作爲誘餌,潛入企業網絡内收集敏感的數據。
在谷歌威脅情報團隊的控制下,該犯罪分子被命名爲 Storm-0324,并以 TA543 、Sigrid 或者别名 Storm-0324 進行密切監控。微軟的安全研究人員注意到,Storm-0324 這個有經濟犯罪動機的網絡組織已經開始使用 Teams 來鎖定潛在的受害者,他們認爲這是一種很容易訪問受害者計算機系統的手段。
作爲網絡經濟犯罪中的有效載荷分發者,Storm-0324 提供的服務可以規避感染鏈,并以此傳播用于攻擊的各種有效載荷。本研究發現惡意軟件類型多種多樣,其中包括下載器、銀行木馬、勒索軟件以及各種模塊化的工具包,如 Nymaim、Gozi、TrickBot、IcedID、Gootkit、Dridex、Sage、GandCrab 和 JSSLoader。
攻擊者過去曾使用以發票和付款單作爲誘餌的電子郵件,誘騙用戶下載帶有 JSSLoader 的 ZIP 托管文件,JSSLoader 是一種惡意軟件加載器,能夠在受感染的機器上配置和加載額外的有效載荷。
據微軟稱,Storm-0324 也是一個惡意軟件分發者,并爲其他的惡意軟件作者分發有效載荷。該團夥采用了各種規避策略,并利用付款和發票引誘受害者上當。事實證明,該團夥曾爲 FIN7 和 Cl0p 這兩個著名的俄羅斯網絡犯罪團夥分發過惡意軟件。
據發現,Storm-0324 還負責在 Teams 上傳播網絡釣魚詐騙。網絡犯罪分子利用 TeamsPhisher 來擴大網絡釣魚攻擊的規模,它允許團隊租戶将文件附加發送給外部租戶的消息内。
攻擊者向受害者發送鏈接,引導他們訪問托管的惡意 SharePoint 文件。微軟此前曾表示,導緻這些攻擊的 Microsoft Teams 漏洞尚未達到立即修複的程度。
企業管理員可以通過修改安全設置,隻允許某些域與員工進行通信,或者讓租戶無法與員工在其辦公場所以外的地方進行聯系,這樣可以最大限度地降低這種風險。
此外,微軟還解釋說,目前它已進行了多項改進,确保自己免受此類威脅,并提高防禦能力。他們還增強了 Teams 一對一聊天中的 " 接受 / 阻止 "(Accept/Block)功能,并凍結了存在欺詐行爲的賬戶和租戶。
通過這種方式,可以提醒團隊用戶注意電子郵件地址是否合法,從而在與未知的或惡意發件的人進行交互時更加的謹慎,避免與這些用戶進行交互。此外,微軟還增強了租戶管理員在租戶中創建新域時的通知功能,這可以使他們能夠監控這些租戶是否已經創建了新的域。
據悉,該組織在其網絡釣魚攻擊中利用了先前被入侵的 Microsoft 365 實例(其中大部分屬于小型企業)來創建新域,不過這些新域看起來像是小型企業的技術支持帳戶。
然後這些人随後會被該攻擊者說服,批準攻擊者通過 Teams 消息發起的多因素身份驗證提示,使用已重命名并用于設置實例的新 onmicrosoft.com 子域。
如果目前用戶沒有創建自定義的域名,Microsoft 365 就會使用 onmicrosoft.com 域名作爲後備域名。爲了提高以技術支持爲主題的信息的可信度,攻擊者通常會在這些子域名中使用安全術語或特定産品名稱作爲誘餌。
