Microsoft met en garde contre une nouvelle campagne de phishing entreprise par un courtier d’accès initial qui consiste à utiliser les messages Teams comme leurre pour infiltrer les réseaux d’entreprise.
L’équipe Threat Intelligence du géant de la technologie suit le cluster sous le nom Tempête-0324également connu sous les surnoms TA543 et Sagrid.
“À partir de juillet 2023, Storm-0324 a été observé en train de distribuer des charges utiles à l’aide d’un outil open source pour envoyer des leurres de phishing via les chats Microsoft Teams”, a déclaré la société. ditajoutant que ce développement marque un changement par rapport à l’utilisation de vecteurs d’infection initiale basés sur le courrier électronique pour l’accès initial.
Storm-0324 opère dans l’économie cybercriminelle en tant que distributeur de charges utiles, offrant un service permettant la propagation de divers charges utiles en utilisant des chaînes d’infection évasives. Cela inclut un mélange de téléchargeurs, de chevaux de Troie bancaires, de ransomwares et de boîtes à outils modulaires telles que Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab et JSSLoader.
Les séquences d’attaque montées par l’acteur dans le passé ont utilisé des messages électroniques leurres sur le thème des factures et des paiements pour inciter les utilisateurs à télécharger des fichiers d’archive ZIP hébergés sur SharePoint et à les distribuer. Chargeur JSSun chargeur de malware capable de profiler les machines infectées et de charger des charges utiles supplémentaires.
“Les chaînes de courrier électronique de l’acteur sont très évasives et utilisent des systèmes de distribution de trafic (TDS) comme BlackTDS et Keitaro, qui fournissent des capacités d’identification et de filtrage pour adapter le trafic des utilisateurs”, a déclaré Microsoft.
“Cette capacité de filtrage permet aux attaquants d’échapper à la détection de certaines plages d’adresses IP qui pourraient être des solutions de sécurité, comme les bacs à sable de logiciels malveillants, tout en redirigeant avec succès les victimes vers leur site de téléchargement malveillant.”
L’accès offert par le malware ouvre la voie à l’acteur du ransomware-as-a-service (RaaS) Sangria Tempest (alias Carbon Spider, ELBRUS et FIN7) pour mener des actions post-exploitation et déployer des logiciels malveillants de cryptage de fichiers.
Le mode opératoire a depuis fait peau neuve en juillet 2023 : les leurres de phishing sont envoyés via Teams avec des liens malveillants menant à un fichier ZIP malveillant hébergé sur SharePoint.
Ceci est accompli en tirant parti d’un outil open source appelé ÉquipesPhisherqui permet aux utilisateurs de locataires Teams de joindre des fichiers aux messages envoyés à des locataires externes en exploitant un problème qui a été mis en évidence pour la première fois par JUMPSEC en juin 2023.
Il convient de noter qu’une technique similaire a été adoptée par l’acteur étatique russe APT29 (alias Midnight Blizzard) lors d’attaques ciblant environ 40 organisations dans le monde en mai 2023.
La société a déclaré avoir apporté plusieurs améliorations en matière de sécurité pour bloquer la menace et avoir « suspendu les comptes et les locataires identifiés associés à un comportement inauthentique ou frauduleux ».
“Étant donné que Storm-0324 donne accès à d’autres acteurs de la menace, l’identification et la correction de l’activité de Storm-0324 peuvent empêcher des attaques ultérieures plus dangereuses comme les ransomwares”, a en outre souligné Microsoft.
La divulgation intervient alors que Kaspersky détaille les tactiques, techniques et procédures du célèbre groupe de ransomwares connu sous le nom de Cuba (alias TIRAGE À FROID et Tropical Scorpius), en plus d’identifier un nouveau pseudonyme nommé “V Is Vendetta” qui est soupçonné d’avoir été utilisé par un sous-groupe ou un affilié.
Le groupe, comme les programmes RaaS, utilise le modèle commercial de double extorsion pour attaquer de nombreuses entreprises à travers le monde et générer des profits illicites.
L’identité est le nouveau point de terminaison : maîtriser la sécurité SaaS à l’ère moderne
Plongez dans l’avenir de la sécurité SaaS avec Maor Bin, PDG d’Adaptive Shield. Découvrez pourquoi l’identité est le nouveau point final. Réservez votre place maintenant.
Les routes d’entrée impliquent l’exploitation de ProxyLogon, ProxyShell, ZeroLogon et des failles de sécurité dans le logiciel Veeam Backup & Replication pour déployer Cobalt Strike et un porte dérobée personnalisée surnommé BUGHATCH, qui est ensuite utilisé pour fournir des versions mises à jour de BURNTCIGAR afin de mettre fin au logiciel de sécurité exécuté sur l’hôte.
“Le gang cybercriminel cubain utilise un vaste arsenal d’outils à la fois accessibles au public et sur mesure, qu’il tient à jour, ainsi que diverses techniques et méthodes, y compris des méthodes assez dangereuses, comme le BYOVD”, a déclaré Kaspersky. dit.
Les attaques de ransomwares ont été témoin un pic majeur en 2023, le National Cyber Security Centre (NCSC) et la National Crime Agency (NCA) du Royaume-Uni notant qu’ils « dépendent d’une chaîne d’approvisionnement complexe ».
“Se concentrer sur des souches spécifiques de ransomwares peut être au mieux déroutant et au pire inutile”, ont déclaré les agences. dit dans un rapport publié plus tôt cette semaine. « La plupart des incidents de ransomware ne sont pas dus à des techniques d’attaque sophistiquées ; les premiers accès aux victimes sont obtenus de manière opportuniste, le succès étant généralement le résultat d’une mauvaise cyber-hygiène. »