Специалисты Microsoft сообщают, что известный брокер доступов, активно сотрудничающий с операторами программ-вымогателей, стал использовать фишинговые атаки через Microsoft Teams для взлома корпоративных сетей.
Microsoft отслеживает группировку, которая стоит за обнаруженной кампанией, под идентификатором Storm-0324 (она же TA543 и Sagrid). Отмечается, что это финансово мотивированная группа, которая в прошлом использовала шифровальщики Sage и GandCrab, а также предоставляла хак-группе FIN7 (она же Sangria Tempest и ELBRUS) доступы к взломанным корпоративным сетям.
После этого FIN7 развертывала в сетях жертв шифровальщик Clop, а также была связана с вымогателями Maze, REvil и уже не существующими RaaS-вредоносами BlackMatter и DarkSide.
В целом Storm-0324 известна в киберпреступном сообществе в качестве распространителя полезных нагрузок, предлагая услуги по распространению пейлоадов через различные цепочки заражения. В их число распространяемых пейлоадов входят вредоносные загрузчики, банковские трояны, вымогатели и модульные тулкиты, включая Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab и JSSLoader.
Схема атак Storm-0324
Напомним, что этот инструмент, о котором мы уже рассказывали ранее, позволяет злоумышленникам обходить ограничения Microsoft Teams на отправку файлов и использовать это для доставки малвари.
Для этого злоумышленники эксплуатируют проблему в Microsoft Teams, обнаруженную исследователями Jumpsec, которую Microsoft отказалась устранять в июле 2023 года, сообщив, что она не требует немедленного исправления.
Фишинговое сообщение в Teams
Теперь в Microsoft сообщают, что компания уже работает над тем, чтобы положить конец атакам и защитить пользователей Teams.
По словам разработчиков, хакеры, использующие тактику фишинга через Teams, теперь распознаются как внешние пользователи, если в настройках организации включен внешний доступ.
Подчеркивается, что после обнаружения фишинговых атак Storm-0324 специалисты Microsoft приостановили работу всех тенантов и учетных записей, связанных с этой кампанией.
Microsoft отслеживает группировку, которая стоит за обнаруженной кампанией, под идентификатором Storm-0324 (она же TA543 и Sagrid). Отмечается, что это финансово мотивированная группа, которая в прошлом использовала шифровальщики Sage и GandCrab, а также предоставляла хак-группе FIN7 (она же Sangria Tempest и ELBRUS) доступы к взломанным корпоративным сетям.
После этого FIN7 развертывала в сетях жертв шифровальщик Clop, а также была связана с вымогателями Maze, REvil и уже не существующими RaaS-вредоносами BlackMatter и DarkSide.
В целом Storm-0324 известна в киберпреступном сообществе в качестве распространителя полезных нагрузок, предлагая услуги по распространению пейлоадов через различные цепочки заражения. В их число распространяемых пейлоадов входят вредоносные загрузчики, банковские трояны, вымогатели и модульные тулкиты, включая Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab и JSSLoader.
Схема атак Storm-0324
Напомним, что этот инструмент, о котором мы уже рассказывали ранее, позволяет злоумышленникам обходить ограничения Microsoft Teams на отправку файлов и использовать это для доставки малвари.
Для этого злоумышленники эксплуатируют проблему в Microsoft Teams, обнаруженную исследователями Jumpsec, которую Microsoft отказалась устранять в июле 2023 года, сообщив, что она не требует немедленного исправления.
Фишинговое сообщение в Teams
Теперь в Microsoft сообщают, что компания уже работает над тем, чтобы положить конец атакам и защитить пользователей Teams.
По словам разработчиков, хакеры, использующие тактику фишинга через Teams, теперь распознаются как внешние пользователи, если в настройках организации включен внешний доступ.
Подчеркивается, что после обнаружения фишинговых атак Storm-0324 специалисты Microsoft приостановили работу всех тенантов и учетных записей, связанных с этой кампанией.
