СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18.04.2025
#ИБ

Эволюция угроз: новый бэкдор PowerShell в Microsoft Teams

Эволюция угроз: новый бэкдор PowerShell в Microsoft Teams

Недавние расследования кибератаки раскрыли новый бэкдор PowerShell, который тесно связан с фишинговой кампанией, целящейся на пользователей Microsoft Teams. Эта угроза несет в себе серьезные последствия для организаций, особенно тех, кто работает в сферах, подверженных атакам.

Цепочка атак Storm-1811

Атака восходит к хакерской группе Storm-1811, которая до этого была известна внедрением программы-вымогателя Black Basta. Анализ показал, что злоумышленники используют сложные методы сохранения и новые вредоносные программы. Это может свидетельствовать о том, что группа либо эволюционирует, либо переживает раскол.

Методы атак

Кампания нацеливалась в первую очередь на высокопрофильных сотрудников в таких секторах, как финансы и научные услуги. Злоумышленники применяли методы социальной инженерии, которые могли обходить традиционные меры защиты электронной почты. Атака инициировалась через:

  • Фишинговые сообщения, замаскированные под запросы в ИТ-службу поддержки;
  • Использование Microsoft Teams как платформы для распространения атак;
  • Злоумышленники использовали законные инструменты Windows, такие как «Quick Assist», для удаленных сеансов.

Инновационные методы персистентности

Критически важным элементом стратегии злоумышленников стал ранее не задействованный метод персистентности, связанный с перехватом COM-кода TypeLib. Это позволило изменять параметры системного реестра для выполнения сценариев с удаленного URL-адреса при доступе к определенным COM-объектам. Такой механизм обеспечивал непрерывную загрузку и запуск вредоносных программ, размещенных на сторонних платформах, таких как Google Drive.

Технические детали угрозы

Обнаруженная вредоносная программа использует комбинацию JScript и PowerShell, которые выполняются скрытым образом. Код JScript отвечает за написание и выполнение команд PowerShell без привлечения внимания пользователей. В результате, бэкдор PowerShell устанавливает канал управления (C2), который включает серийный номер жесткого диска скомпрометированного устройства. Это еще больше усложняет обнаружение угрозы из-за ее запутанного характера и минимального воздействия на инструменты анализа, такие как VirusTotal.

Рекомендации по защите

Для усиления защиты от подобных атак организациям рекомендуется:

  • Ограничить внешние коммуникации в Microsoft Teams;
  • Внедрить строгие политики внесения в белые списки;
  • Блокировать определенные домены на границе сети;
  • Отключить JScript и Windows Script Host с помощью групповой политики и AppLocker;
  • Внедрить строгие настройки контроля приложений защитника Windows.

Эти меры направлены на защиту от новых методов, используемых в условиях меняющегося ландшафта угроз, особенно в свете растущего доверия к инструментам совместной работы, таким как Microsoft Teams.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: