Doi actori ransomware diferiți au atacat mai multe companii exploatând setările implicită ale Microsoft Teams și folosind ingineria socială pentru a fura date și a executa crypto malware.

Atacatorii au început prin a trimite mii de emailuri într-un timp foarte scurt către un singur destinatar, apoi au contactat angajatul vizat prin aplicația Microsoft Teams prefăcându-se a fi de la echipa de suport IT.

Tehnica inundării unui inbox cu emailuri se numește “email bombing” și a fost folosită ca metodă de DoS ce întrerupea sau îngreuna activitatea unei organizații prin îngroparea mesajelor relevante sub cele ale atacatorilor.

În octombrie anul trecut, gruparea ransomware Black Basta (Storm-1811) a combinat această tehnică cu ingineria socială prin Microsoft Teams și a păcălit angajații companiilor vizate să permită accesul de la distanță sub pretextul că sunt de la departamentul IT și vor să rezolve problema volumului mare de mesaje.

Deși cele două grupări ransomware au folosit aceeași tehnică anul trecut în noiembrie și decembrie, compania de securitate Sophos informează că doar una (monitorizată intern ca STAC5777) ar avea legături cu Black Basta, iar cealaltă reprezintă un actor nou (monitorizat ca STAC5143) care doar a adoptat metoda, dar care pare a fi conectat cu grupul de cibercriminali de origine rusă numit Fin7.

Malware de la ”suport IT”

Atacurile STAC5143 investigate de Sophos în noiembrie au început cu trimiterea unui volum mare de emailuri – peste 3.000 în 45 de minute.

Apoi atacatorul contactează persoana vizată printr-un apel prin Microsoft Teams din afara organizației, lucru ce este posibil datorită setărilor implicite ale aplicației la nivelul companiei.

STAC5143 folosește un cont cu numele Help Desk Manager, pretinzând că face parte din echipa de suport tehnic însărcinată cu rezolvarea spamului din inbox.

În timpul apelului, atacatorul a convins angajatul companiei vizate să permită o sesiune de control de la distanță, lăsând cale liberă la deschiderea unei interfețe de linie de comandă și plantarea de fișiere malițioase (arhive JAR, scripturi Python) aflate pe o instanță Microsoft SharePoint externă.

Trebuie menționat că ambele grupări au folosit în atacuri propriile tenant-uri ale platformei Microsoft 365 cu serviciile de productivitate aferente (Teams, Word, Excel, SharePoint, Outlook, OneDrive, etc.).

În cazul atacurilor STAC5777, accesul inițial a fost obținut într-o manieră similară, doar că adversarul a convins victima să instaleze aplicația Quick Assist din Windows, ce permite controlul de la distanță al calculatorului.

Având controlul asupra sistemului, STAC5777 a folosit web browserul pentru a descărca fișiere malițioase, printre care și o variantă vulnerabilă a executabilului “OneDriveStandaloneUpdater.exe”, un binar legitim pentru actualizarea aplicației Microsoft OneDrive.

Rolul executabilului OneDriveStandaloneUpdater.exe era acela de a încarca un backdoor ascuns într-un DLL malițios, prin asa-numita metodă DLL side-loading.

De asemenea, STAC5777 a încercat să se extindă în rețea folosind datele de logare ale utilizatorului compromis pentru a se conecta la hosturi RDP, sau prin Windows Remote Management (WinRM).

În cazul unuia din incidentele analizate, actorul STAC5777 a accesat documente locale (text, Word) al căror nume conținea cuvântul “parola” și a căutat date de configurare în fișiere RDP (Remote Desktop Protocol).

Specialiștii de la Sophos spun că în alt incident atacatorul a încercat să execute Black Basta ransomware, dar fără succes pentru că platforma adaptivă de securitate de la Sophos a blocat lansarea malware-ului.

Măsuri de protecție

Recomandările Sophos pentru a preveni astfel de atacuri includ restricționarea comunicărilor de la organizații externe sau limitarea lor la parteneri de încredere.

Aplicarea de politici ce permit accesul la distanță prin aplicații precum Quick Assist doar personalului IT autorizat reduce semnificativ riscul unui atac de succes.

O integrare Microsoft 365 cu soluții de securitate care să monitorizeze surse de trafic potențial malițioase prin Teams sau Outlook crește nivelul de protecție și reduce șansele unei breșe.

Educarea angajaților cu privire la asemenea tehnici, cunoașterea echipei de asistență desemnată pentru soluționarea problemelor IT, și conștientizarea tacticilor menite să inducă un sentiment de urgență are un rol important în respingerea atacurilor ce se bazează pe ingineria socială.