Фишинг в Teams через спам-бомбинг и удалённый доступ

С начала октября 2024 года фиксируется целевая malicious campaign, в которой злоумышленники маскируются под сотрудников IT support и через Microsoft Teams добиваются доступа к корпоративным сетям. Атака строится на сочетании social engineering, vishing и последующего развертывания remote access software, включая AnyDesk, под видом помощи в устранении проблем.

По данным отчета, первичный триггер кампании — registration bombing: на корпоративный email жертвы массово оформляются регистрации на множестве online platforms. В результате сотрудник получает лавину spam-сообщений, которые выглядят как легитимные уведомления. Это вызывает confusion и pressure, после чего жертва с большей вероятностью обращается за «помощью» к якобы настоящей IT support.

Как развивается атака

После того как жертва выходит на связь через звонок в Microsoft Teams, злоумышленник, выдающий себя за сотрудника поддержки, использует local language, чтобы быстрее завоевать доверие. Далее он убеждает установить AnyDesk — якобы для диагностики и устранения неполадок, вызванных spam flood.

Как только злоумышленник получает удаленный доступ, он начинает разворачивать additional malicious binaries вместе с AnyDesk, опираясь на уже созданное доверие со стороны жертвы.

  • antispam.exe — имитирует легитимную установку anti-spam software и перехватывает учетные данные жертвы;
  • antispam_account.exe — предназначен для создания machine accounts;
  • antispam_connect_eu.exe и antispam_connect_us.exe — binary files семейства SystemBC, которые устанавливают proxy tunnel для закрепления в системе и скрытного проведения дальнейших атак.

Кража учетных данных и закрепление в сети

Особую опасность в этой кампании представляет то, что атака захватывает usernames и passwords в открытом виде и сохраняет их в файле. Это позволяет злоумышленникам не только получить доступ к учетной записи жертвы, но и глубже проникать в network environment компании.

Дальнейшее развитие атаки включает использование инструментов SharpHound и Impacket для enumeration и mapping структуры Active Directory. Это помогает злоумышленникам выстраивать карту внутренних связей и выбирать наиболее перспективные точки для lateral movement.

В начале сессии также фиксируется kerberoasting: злоумышленник отправляет LDAP requests для поиска уязвимых service accounts. Эта техника часто оказывается эффективной при попытках compromise паролей учетных записей в Active Directory.

Что рекомендуют эксперты

Для снижения риска подобных атак организациям рекомендуется усиливать security posture за счет корректной конфигурации Active Directory и комплексного hardening конечных точек.

  • регулярно проверять конфигурации Active Directory;
  • поддерживать approved list software для remote access;
  • ограничивать несанкционированные установки приложений;
  • мониторить необычные коммуникации через Microsoft Teams и другие collaboration tools;
  • усиливать защиту endpoints, чтобы затруднить запуск вредоносных binaries.

В отчете подчеркивается, что такие атаки особенно опасны именно потому, что они ориентированы на человека: злоумышленники не ломают периметр напрямую, а вынуждают сотрудника самостоятельно открыть им дверь в корпоративную среду.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: