Redmond, Microsoft’un sınıflandırmasında Storm-0324 olarak takip edilen bir tehdit aktörünün, taktiklerini Microsoft Teams aracılığıyla gerçekleştirilen sosyal mühendislik kimlik avı saldırılarını içerecek şekilde değiştirdiğinin gözlemlendiğini açıkladı.
İlk erişim aracısı (IAB) olarak adlandırılan Storm-0324, aralarında Clop, Gandcrab, Maze ve REvil dolaplarını kurduğu bilinen bazılarının da bulunduğu çok sayıda üretken ve tehlikeli fidye yazılımı operasyonuyla bağlantılı.
Microsoft Tehdit İstihbaratı ekibi, “Temmuz 2023’ten itibaren Storm-0324’ün, Microsoft Teams sohbetleri aracılığıyla kimlik avı tuzakları göndermek için açık kaynaklı bir araç kullanarak yükleri dağıttığı gözlemlendi” diye yazdı.
“Bu aktivite, Mayıs 2023’te gözlemlediğimiz Midnight Blizzard’ın Teams üzerindeki sosyal mühendislik kampanyalarıyla ilgili değil. Storm-0324, diğer tehdit aktörlerine erişimi devre dışı bıraktığından, Storm-0324 aktivitesinin tanımlanması ve iyileştirilmesi daha tehlikeli takip saldırılarını önleyebilir. fidye yazılımı gibi.
2018’den yakın zamana kadar grubun faaliyetleri, Microsoft’un tanımladığı yöntemi kullanarak, hizmet olarak fidye yazılımı (RaaS) aktörü Sangria Tempest (diğer adıyla Elbrus, Carbon Spider ve FIN7) adına kötü amaçlı yazılım JSSLoader’ı dağıtmaya odaklandı. Bir SharePoint sitesine bağlanan “ödeme ve fatura tuzağına sahip son derece kaçamak enfeksiyon zincirleri” olarak adlandırılan bu zincirler, buradan dikkatsizce yükü içeren kötü amaçlı bir ZIP arşivini indirir.
Ancak tehdit aktörü şimdi, Jumpsec araştırmacıları tarafından Haziran 2023’te tespit edilen ancak sözde hemen düzeltilebilecek kadar ciddi olmadığı gerekçesiyle o sırada Microsoft tarafından yama yapılmadan bırakılan Teams’deki bir sorundan yararlanıyor gibi görünüyor.
Bu etkinlik Temmuz ayında – Jumpsec açıklamasının biraz dikkat çekmesinden sonra – başladı ve muhtemelen Teams kiracı kullanıcılarının harici kiracılara gönderilen mesajlara dosya eklemesine olanak tanıyan bir Python programı olan TeamsPhisher adlı halka açık bir aracın kullanımını içeriyor.
Bu özelliğin nasıl kötüye kullanılabileceğini görmek zor değil ve Storm-0324’ün yaptığı da bu gibi görünüyor; onu kötü amaçlı SharePoint sitesine yönlendiren kimlik avı tuzakları göndermek için kullanıyor. Yemleri, dışarıdan erişimin etkinleştirilmesi durumunda Teams platformu tarafından harici yemler olarak tanımlanıyor, bu da potansiyel kurbanlara oldukça kolay ulaşabilecekleri anlamına geliyor.
Savunucuların, Microsoft tarafından belirtildiği gibi, ağlarını bu saldırılara karşı güçlendirmek için çeşitli seçenekleri vardır.
Threat Intel ekibi şunları yazdı: “Microsoft, bu kimlik avı kampanyalarını çok ciddiye alıyor ve bu tehditlere karşı daha iyi savunma sağlamak için çeşitli iyileştirmeler gerçekleştirdi.”
“Microsoft politikaları uyarınca, asılsız veya hileli davranışlarla ilişkili olduğu belirlenen hesapları ve kiracıları askıya aldık. Ayrıca Teams kullanıcılarının bilinmeyen veya kötü niyetli gönderenlerle etkileşime girmeyerek daha dikkatli olabilmeleri için bir kullanıcının ve e-posta adresinin dışsallığını vurgulamak amacıyla Teams içindeki bire bir sohbetlerdeki Kabul Et/Engelle deneyimine yönelik geliştirmeler de kullanıma sunduk.
“Kiracının içinde etki alanı oluşturulmasına ilişkin yeni kısıtlamalar getirdik ve kiracının içinde yeni etki alanı oluşturulduğunda kiracı yöneticilerine yönelik bildirimleri iyileştirdik. Bu spesifik iyileştirmelere ek olarak geliştirme ekiplerimiz, müşterileri kimlik avı saldırılarından daha fazla korumak için ek önleyici ve tespit edici önlemler uygulamaya devam edecek.”
Bu neden e-posta kimlik avından daha tehlikelidir?
My1Login CEO’su Mike Newman, “Bu, birçok kurbanı yakalayacak karmaşık bir kimlik avı dolandırıcılığıdır çünkü suçluların saldırı gerçekleştirmek için Microsoft Teams’i ele geçirebileceğini fark etmeyeceklerdir” dedi.
Newman, insanlar siber suçluların kimlik avı e-postaları göndermek için kullandıkları teknikleri anlama eğilimindeyken Teams’in daha çok bir iç iletişim platformu olarak görüldüğünü açıkladı.
“Çalışanlar araca daha fazla güveniyor ve sohbetlerde aldıkları belgeleri açma ve harekete geçme olasılıkları daha yüksek” dedi.
“Bu tehditten endişe duyan kuruluşlar için, suçluların e-postalardan, telefon çağrılarından, SMS’lerden mesajlaşma platformlarına kadar kimlik avı saldırıları başlatmak için kullanabileceği tüm farklı teknikler konusunda çalışanları eğitmek çok önemli.
“Ayrıca, bu dolandırıcılıkların birçoğu çalışanların kimlik bilgilerini çalmak için geliştirildiğinden, kuruluşlar şifreleri çalışanların elinden alarak savunmalarını geliştirebilirler. Bu, son derece karmaşık dolandırıcılıkların kullanıcıların gelen kutularına ulaştığında bile, kimlik bilgilerini vermeleri için kandırılamayacakları, çünkü onları tanımadıkları anlamına geliyor” diye ekledi.
Cofense kıdemli siber tehdit istihbaratı analisti Max Gannon şunları ekledi: “Slack ve Teams gibi sohbet sistemlerinin, kimlik bilgilerine yönelik kimlik avı e-postalarıyla aynı düzeyde tehdit oluşturan bir şey olarak kuruluşlar tarafından kabul edilmesi gerekiyor. Kullanıcının güveninden faydalanmak için manipüle edilebilecek herhangi bir sistem, giriş yöntemi olarak kullanılabilir…. Herhangi bir kaynağa sorun değilmiş gibi davranmak veya ihmal edilebilir bir tehdit düzeyine sahipmiş gibi davranmak, karar vericileri kolayca rahatsız edebilir.
“Bununla birlikte, kullanıcıları herhangi bir platformda eğitmek, onların aynı becerileri ve şüpheciliği başka herhangi bir platforma uygulamalarına olanak tanıyor. Bu olaylar, kuruluşların henüz farkına bile varmadıkları tehditleri hesaba katmak için ellerindeki tüm araçları kullanma zorunluluğunu gerçekten ortaya koyuyor.”