Storm-0324 Erişim Kazanmak ve Fidye Yazılımını Dağıtmak İçin Microsoft Ekiplerini Kötüye Kullanma


Finansal odaklı bir tehdit grubu olan Storm-0324’ün, Microsoft Teams’i kullanarak kimlik avı mesajları dağıttığı tespit edildi.

Geçmişte, virüslü sistemlere ilk erişimi elde etmek için uzaktan kod yürütmeyi kullanmak üzere kimlik avı e-postaları yaymakla suçlanmıştı.

Erişimi sağladıktan sonra, Storm-0324 genellikle TA543’e ve fidye yazılımı saldırıları gerçekleştirmek için bu erişimi düzenli olarak kullanan tanınmış fidye yazılımı grubu Sangria Tempest’e (FIN7, Carbon Spider olarak da bilinir) erişim sağlar.

Trellix, dağıtım tekniğinin en son yinelemesinin, Teams IM’yi birincil sohbet kutusu olarak kullanan profesyonelleri hedef aldığını ve bunun, ağdaki ilgili cihazlara fidye saldırısıyla sonuçlanan belirli kandırıcı kimlik avı mesajlarının yanı sıra eklerle HARİCİ kullanıcı iletişimini mümkün kıldığını belirtti. .

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

JSSLoader’ın Enfeksiyon Zinciri – Storm-0324

Kimlik avı e-postası döneminde Storm-0324 sık sık DocuSign, Quickbooks ve benzeri faturalama temalarını içeren kimlik avı e-postaları gönderdi.

Kullanıcı daha sonra, sıkıştırılmış WSF’nin (Windows Komut Dosyası Dosyası)/JS’nin kötü amaçlı bir .Net yükü JSSLoader’ı sağladığı SharePoint sitesine gönderilir. Tehdit aktörü şu ana kadar Windows Komut Dosyası Dosyaları (WSF), Microsoft Office Belgeleri ve VBS dahil olmak üzere çeşitli dosya formatlarını kullandı.

Araştırmacılar, “Tehdit aktörleri Sangria Tempest ve Storm-0324 daha önce Gozi InfoStealer, Nymaim indiricisi ve dolabın dağıtımıyla ilişkilendirilmişti ve şimdi Storm-0324, sorumluluğu diğer fidye yazılımı gruplarına aktarmadan önce JSSLoader’ı dağıtıyor” dedi.

FIN7/Sagrid tehdit aktörü, aşağıdaki özelliklere sahip çok gelişmiş bir arka kapı olan JSSLoader’ı yarattı:

  • Anti-analiz
  • Süzme
  • Uzaktan kod yürütme
  • Kalıcılık

Yük, kurbanın veya hedefin izini sürmek için seri numarasına, alan adına ve bilgisayar adına dayalı olarak hedefin benzersiz bir kimliğini oluşturur.

Bir RAT (uzaktan erişim truva atı) olarak kötü amaçlı yazılım, bir sonraki yürütme aşamasına hazırlanmak için listelenen kurban verilerini toplar:

  • Mantıksal sürücüler
  • Ana makine adı
  • Kullanıcı adı
  • Alan adı
  • Sistem Bilgisi (masaüstü dosya listesi, çalışan işlem, yüklü uygulama, PC bilgisi)
  • IP bilgisi
Mağdur Bilgileri Toplandı
Mağdur Bilgileri Toplandı

2019’dan beri JSSLoader sürekli değişti ve bu tehdidin dağıtım modu da gelişti. Araştırmacılar, bunların GitHub komut dosyalarını kullanan Teams tabanlı kimlik avı saldırılarına yeni bir yaklaşım getirdiğini ve bunun da komut dosyası çocuklarının ellerini kirletmesine yol açtığını söylüyor.

Dolayısıyla C++’ta JSSLoader’ın oluşturulmasıyla tespit ve karmaşık analizlerden kaçınmak mümkün oldu.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link