Microsoft met en garde contre une nouvelle campagne de phishing entreprise par un courtier d’accès initial qui consiste à utiliser les messages Teams comme leurre pour infiltrer les réseaux d’entreprise.
L’équipe Threat Intelligence du géant de la technologie suit le cluster sous le nom Tempête-0324également connu sous les surnoms TA543 et Sagrid.
« À partir de juillet 2023, Storm-0324 a été observé en train de distribuer des charges utiles à l’aide d’un outil open source pour envoyer des leurres de phishing via les chats Microsoft Teams », a déclaré la société, ajoutant que le développement marque un changement par rapport à l’utilisation de vecteurs d’infection initiale basés sur le courrier électronique pour l’accès initial. .
Storm-0324 opère dans l’économie cybercriminelle en tant que distributeur de charges utiles, offrant un service permettant la propagation de diverses charges utiles à l’aide de chaînes d’infection évasives. Cela inclut un mélange de téléchargeurs, de chevaux de Troie bancaires, de ransomwares et de boîtes à outils modulaires telles que Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab et JSSLoader.
Les séquences d’attaque montées par l’acteur dans le passé ont utilisé des messages électroniques leurres sur le thème des factures et des paiements pour inciter les utilisateurs à télécharger des fichiers d’archive ZIP hébergés sur SharePoint distribuant JSSLoader, un chargeur de malware capable de profiler les machines infectées et de charger des charges utiles supplémentaires.
« Les chaînes de courrier électronique de l’acteur sont très évasives et utilisent des systèmes de distribution de trafic (TDS) comme BlackTDS et Keitaro, qui fournissent des capacités d’identification et de filtrage pour adapter le trafic des utilisateurs », a déclaré Microsoft.
« Cette capacité de filtrage permet aux attaquants d’échapper à la détection de certaines plages d’adresses IP qui pourraient être des solutions de sécurité, comme les bacs à sable de logiciels malveillants, tout en redirigeant avec succès les victimes vers leur site de téléchargement malveillant. »
L’accès offert par le malware ouvre la voie à l’acteur du ransomware-as-a-service (RaaS) Sangria Tempest (alias Carbon Spider, ELBRUS et FIN7) pour mener des actions post-exploitation et déployer des logiciels malveillants de cryptage de fichiers.
Le mode opératoire a depuis fait peau neuve en juillet 2023 : les leurres de phishing sont envoyés via Teams avec des liens malveillants menant à un fichier ZIP malveillant hébergé sur SharePoint.
Ceci est accompli en tirant parti d’un outil open source appelé TeamsPhisher, qui permet aux utilisateurs locataires Teams de joindre des fichiers aux messages envoyés aux locataires externes en exploitant un problème qui a été souligné pour la première fois par JUMPSEC en juin 2023.
Il convient de noter qu’une technique similaire a été adoptée par l’acteur étatique russe APT29 (alias Midnight Blizzard) lors d’attaques ciblant environ 40 organisations dans le monde en mai 2023.
La société a déclaré avoir apporté plusieurs améliorations en matière de sécurité pour bloquer la menace et avoir « suspendu les comptes et les locataires identifiés associés à un comportement inauthentique ou frauduleux ».
« Étant donné que Storm-0324 donne accès à d’autres acteurs de la menace, l’identification et la correction de l’activité de Storm-0324 peuvent empêcher des attaques ultérieures plus dangereuses comme les ransomwares », a en outre souligné Microsoft.
La divulgation intervient alors que Kaspersky détaille les tactiques, techniques et procédures du célèbre groupe de ransomwares connu sous le nom de Cuba (alias COLDDRAW et Tropical Scorpius), tout en identifiant un nouvel alias nommé « V Is Vendetta » qui est soupçonné d’avoir été utilisé par un sous-groupe. ou affilié.
Le groupe, comme les programmes RaaS, utilise le modèle commercial de double extorsion pour attaquer de nombreuses entreprises à travers le monde et générer des profits illicites.
Les routes d’entrée impliquent l’exploitation de ProxyLogon, ProxyShell, ZeroLogon et des failles de sécurité dans le logiciel Veeam Backup & Replication pour déployer Cobalt Strike et une porte dérobée personnalisée baptisée BUGHATCH, qui est ensuite utilisée pour fournir des versions mises à jour de BURNTCIGAR afin de mettre fin au logiciel de sécurité exécuté sur l’hôte.
« Le gang cybercriminel cubain utilise un vaste arsenal d’outils à la fois accessibles au public et sur mesure, qu’il tient à jour, ainsi que diverses techniques et méthodes, y compris celles qui sont assez dangereuses, comme le BYOVD », a déclaré Kaspersky.
Les attaques de ransomwares ont connu une forte augmentation en 2023, le National Cyber Security Centre (NCSC) et la National Crime Agency (NCA) du Royaume-Uni notant qu’elles « dépendent d’une chaîne d’approvisionnement complexe ».
« Se concentrer sur des souches spécifiques de ransomwares peut être au mieux déroutant et au pire inutile », ont déclaré les agences dans un rapport publié plus tôt cette semaine. « La plupart des incidents de ransomware ne sont pas dus à des techniques d’attaque sophistiquées ; les premiers accès aux victimes sont obtenus de manière opportuniste, le succès étant généralement le résultat d’une mauvaise cyber-hygiène. »
