A Microsoft diz que brokers (corretores) de acesso inicial conhecidos por trabalhar com grupos de ransomware mudaram recentemente para ataques de phishing usando o Teams para violar redes corporativas. O grupo de ameaças com motivação financeira por trás dessa campanha é rastreado como Storm-0324, conhecido por ter implantado os ransomware Sage e GandCrab no passado.
O Storm-0324 também forneceu à famigerada gangue de crimes cibernéticos FIN7 acesso a redes corporativas depois de comprometê-las usando os malwares JSSLoader, Gozi e Nymaim.
O FIN7 (também conhecido como Sangria Tempest e ELBRUS) foi visto implantando o ransomware Clop nas redes das vítimas. Anteriormente ele também foi ligado ao Maze e ao ransomware REvil antes das extintas operações de ransomware como serviço (Raas) BlackMatter e DarkSide.
“Em julho, o Storm-0324 começou a usar iscas de phishing enviadas pelo Teams com links que levam a um arquivo malicioso hospedado no SharePoint”, disse a Microsoft nesta terça-feira, 12. “Para essa atividade, o Storm-0324 provavelmente depende de uma ferramenta disponível publicamente chamada TeamsPhisher.”
Essa ferramenta de código aberto permite que invasores ignorem as restrições para arquivos recebidos de locatários externos e enviem anexos de phishing para usuários do Teams. Ele faz isso explorando um problema de segurança no Teams descoberto por pesquisadores de segurança da Jumpsec que a Microsoft se recusou a resolver em julho depois de dizer que a falha “não atendia ao padrão para manutenção imediata”.
Veja isso
Broker põe à venda na dark web acesso a sistemas invadidos
Shadow Brokers anunciam mais maldades
No entanto, a questão também foi explorada pelo APT29, a divisão de hackers do Serviço de Inteligência Estrangeira da Rússia (SVR), em ataques contra dezenas de organizações, incluindo agências governamentais em todo o mundo.
Embora a Microsoft não tenha fornecido detalhes sobre o objetivo final dos ataques do Storm-0324 desta vez, os ataques do APT29 visaram roubar as credenciais dos alvos depois de enganá-los para aprovar prompts de autenticação multifator (MFA).
Agora, a empresa disse que tem trabalhado para acabar com esses ataques e proteger os clientes do Teams. “A Microsoft leva essas campanhas de phishing muito a sério e lançou várias melhorias para se defender melhor contra essas ameaças”, disse.
De acordo com a empresa, os operadores de ameaças que usam essas táticas de phishing do Teams agora são reconhecidos como usuários “externos” quando o acesso externo é habilitado nas configurações de uma organização. Além disso, depois de detectar os ataques de phishing do Storm-0324, a Microsoft suspendeu todos os locatários e contas usados na campanha.