Son raporlara göre Storm-0324 olarak bilinen bir tehdit aktörü, kuruluşlara saldırmak için e-posta tabanlı ilk enfeksiyon vektörlerini kullanıyor.
Ancak Temmuz 2023 itibarıyla tehdit aktörünün Kimlik Avı e-postaları göndermek için Microsoft Teams’i kullandığı tespit edildi.
Tehdit aktörü erişim elde ettiğinde, erişimi hassas bilgiler için sistemlerden daha fazla yararlanmaya devam eden diğer tehdit aktörlerine devreder.
Ayrıca Sangria Tempest hizmet olarak fidye yazılımı (RaaS) aktörüyle birlikte çalıştığı, JSSLoader kötü amaçlı yazılımını dağıttığı ve Sangria tehdit grubuna erişim sağladığı da belirlendi.
Storm-0324’ün saldırı zinciri, fatura ve ödeme tuzaklarını kullanan son derece kaçamak enfeksiyon zincirlerini içerir. Storm-0324’ün ayrıca kimlik avı ve istismar kiti vektörleri aracılığıyla diğer tehdit aktörlerinden gelen yükleri dağıttığı da tespit edildi.
Şirketlerin gelişmiş e-posta koruması kullanması önerilir. Trusitifi Gelen KalkanıGüçlü, çok katmanlı tarama teknolojisi sunan.
Storm-0324, Sangria Tempest ve JSSLoader
Storm-0324 ve Sangria Tempest, 2019’dan beri birlikte çalışıyor. Storm-0324, ilk aşama kötü amaçlı yazılım yükü JSSLoader’ı teslim ettikten sonra Sangria’ya müdahalesiz erişim sağlıyor.
Aktörün, hizmet olarak fidye yazılımı (RaaS) aktörü Sangria Tempest’in (ELBRUS, Carbon Spider, FIN7) erişimini kolaylaştıran JSSLoader kötü amaçlı yazılımını dağıttığı biliniyor. Storm-0324 ile ilgili önceki dağıtım etkinliği Gozi bilgi hırsızı, Nymaim indiricisi ve dolabını içeriyordu.
Teslimat zinciri, bir ödeme veya faturadan bahseden ve ZIP arşivini barındıran bir SharePoint sitesine bağlantı içeren bir kimlik avı e-postasıyla başlar.
ZIP arşivi, yerleşik JS koduna sahip bir dosyadan oluşur ve bu, CVE-2023-21715 yerel güvenlik özelliğinin atlama güvenlik açığından yararlanılmasına neden olur. Dosya açıldığında, JSSLoader değişkeni DLL’sini bırakan JS kodunu başlatır.
Bazı durumlarda, belgeyi açmadan önce kullanıcılardan bir güvenlik kodu veya parola girmeleri de istenebilir, bu da kullanıcı için ek bir inandırıcılık düzeyi sağlar.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Yeni Teams tabanlı kimlik avı
Cyber Security News tarafından bildirildiği üzere Storm-0324, SharePoint tarafından barındırılan kötü amaçlı bir dosyaya işaret eden kötü amaçlı bir bağlantı içeren bir Teams mesajı göndermek için halka açık bir araç olan TeamsPhisher’ı kullanıyor.
“Biz[Microsoft] Ayrıca Teams kullanıcılarının bilinmeyen veya kötü niyetli gönderenlerle etkileşime girmeyerek daha dikkatli olabilmeleri için bir kullanıcının ve e-posta adresinin dışsallığını vurgulamak amacıyla Teams içindeki bire bir sohbetlerdeki Kabul Et/Engelle deneyimine yönelik geliştirmeler de kullanıma sunduk.” Microsoft’un raporunu okuyor.
Bu gibi durumlarda Trustifi’nin yapay zeka destekli e-posta güvenliği, günümüzün kötü amaçlı e-posta tabanlı tehditlerine karşı bir adım önde kalmanıza yardımcı olur. – Ücretsiz Demo Talep Edin.
Microsoft’un önerileri
Bu tehdit aktörünü savunmanın bir parçası olarak Microsoft, kullanıcılarına aşağıda belirtilen özel önerilerde bulunmuştur:
Microsoft, grupların bu tehdit aktörünün ağlarına sızmasını engellemek için verdiği adımları atmasını öneriyor.
Bizi Google Haberler ve Linkedin’den takip ederek en son siber güvenlik haberlerinden haberdar olun. heyecanve Facebook.