A Microsoft está alertando sobre uma nova campanha de phishing realizada por um broker de acesso inicial que envolve o uso de mensagens no Teams como iscas para infiltrar redes corporativas.
A equipe de Inteligência de Ameaças da gigante da tecnologia está rastreando o cluster sob o nome Storm-0324, que também é conhecido pelos codinomes TA543 e Sagrid.
"Começando em julho de 2023, Storm-0324 foi observado distribuindo cargas úteis usando uma ferramenta de código aberto para enviar iscas de phishing através de chats no Microsoft Teams", disse a empresa, acrescentando que o desenvolvimento marca uma mudança do uso de vetores de infecção iniciais baseados em e-mail para acesso inicial.
Storm-0324 opera na economia de crimes cibernéticos como um distribuidor de cargas úteis, oferecendo um serviço que possibilita a propagação de várias cargas úteis usando cadeias de infecção evasivas.
Isso inclui uma mistura de downloaders, trojans bancários, ransomware e kits de ferramentas modulares, como Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab e JSSLoader.
Sequências de ataque realizadas pelo ator no passado empregaram mensagens de email de isca com temas de faturas e pagamentos para enganar usuários a fazer download de arquivos ZIP hospedados no SharePoint distribuindo JSSLoader, um carregador de malware capaz de perfilar máquinas infectadas e carregar cargas úteis adicionais.
"As cadeias de e-mail do ator são altamente evasivas, utilizando sistemas de distribuição de tráfego (TDS) como BlackTDS e Keitaro, que fornecem capacidades de identificação e filtragem para adequar o tráfego do usuário", disse a Microsoft.
"Essa capacidade de filtragem permite aos atacantes evadir a detecção por certos intervalos de IP que podem ser soluções de segurança, como sandboxes de malware, ao mesmo tempo que redirecionam com sucesso as vítimas para seu site de download malicioso."
O acesso proporcionado pelo malware abre o caminho para o ator de ransomware como serviço (RaaS) Sangria Tempest (também conhecido como Carbon Spider, ELBRUS e FIN7) realizar ações pós-exploração e implantar malware criptografador de arquivos.
O modus operandi passou por uma atualização a partir de julho de 2023, onde as iscas de phishing são enviadas pelo Teams com links maliciosos levando a um arquivo ZIP malicioso hospedado no SharePoint.
Isso é possível ao se aproveitar uma ferramenta de código aberto chamada TeamsPhisher, que permite aos usuários do Teams anexar arquivos às mensagens enviadas para inquilinos externos ao explorar um problema que foi destacado pela JUMPSEC em junho de 2023.
Vale ressaltar que uma técnica semelhante foi adotada pelo ator russo do estado-nação APT29 (também conhecido como Midnight Blizzard) em ataques que visaram cerca de 40 organizações em todo o mundo em maio de 2023.
A empresa disse que fez várias melhorias de segurança para bloquear a ameaça e que "suspendeu contas e inquilinos identificados associados a comportamento inautêntico ou fraudulento."
"Como o Storm-0324 passa o acesso para outros atores de ameaças, identificar e remediar sua atividade pode prevenir ataques subsequentes mais perigosos como o ransomware", acrescentou a Microsoft.
A divulgação ocorre quando a Kaspersky detalhou as táticas, técnicas e procedimentos do notório grupo de ransomware conhecido como Cuba (também conhecido como COLDDRAW e Tropical Scorpius), além de identificar um novo codinome chamado V Is Vendetta, que se suspeita ter sido usado por um subgrupo ou afiliado.
Esse grupo, como os esquemas de RaaS, emprega o modelo de negócio de extorsão dupla para atacar várias empresas ao redor do mundo e gerar lucros ilícitos.
"A gangue cibercriminosa Cuba emprega um extenso arsenal de ferramentas tanto publicamente disponíveis quanto personalizadas, que mantém atualizadas, e várias técnicas e métodos, incluindo alguns bastante perigosos, como o BYOVD", disse a Kaspersky.
Ataques de ransomware viram um aumento significativo em 2023, com o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e a Agência Nacional de Crimes (NCA) notando que eles são "dependentes de uma cadeia de suprimentos complexa".
"Focar em estirpes de ransomware específicas pode ser, na melhor das hipóteses, confuso e, na pior, inútil", disseram as agências em um relatório publicado no início desta semana.
"A maioria dos incidentes de ransomware não se deve a técnicas de ataque sofisticadas; os acessos iniciais às vítimas são obtidos oportunisticamente, com sucesso geralmente resultante de má higiene cibernética."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...