СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24 мая
#ИБ

KongTuke атакует через Teams и закрепляется за пять минут

Группа KongTuke, действующая как broker первоначального access (IAB) и мотивированная financial gain, изменила тактику и начала использовать external chats Microsoft Teams для получения initial access. Это заметный отход от прежнего, преимущественно web-based подхода. Новый вектор атаки позволяет злоумышленникам эксплуатировать доверенный интерфейс collaboration tools и легче вводить пользователей в заблуждение, вынуждая их запускать evolved malware ModeloRAT.

По данным отчета, новая вариация ModeloRAT стала заметно более устойчивой: вредоносный инструмент использует три independent C2 channels, что осложняет containment. Если один канал блокируется, остальные продолжают работать, обеспечивая злоумышленникам сохранение control над compromised host.

Как работает схема заражения

Атака строится на social engineering. Злоумышленники выдают себя за сотрудников support и убеждают пользователей загрузить malicious diagnostic tools, размещенные в ZIP archives на legitimate cloud storage. После запуска такой файл инициирует portable WinPython environment и активирует intelligence collector для сбора host information.

Собранные данные используются для оценки среды и определения дальнейших действий. По сути, злоумышленники получают возможность быстро понять, насколько ценна цель и какие шаги позволят им закрепиться в системе наиболее эффективно.

Быстрое закрепление и механизмы persistence

Отдельного внимания заслуживает скорость, с которой кампания переходит от initial contact к укреплению позиций. По отчету, набор tools может установить persistent access менее чем за five minutes после того, как жертва выполнит одну команду PowerShell.

Для закрепления ModeloRAT использует несколько механизмов persistence:

  • Run keys в registry;
  • записи в folder Автозагрузка;
  • VBScript loaders;
  • scheduled task на уровне SYSTEM.

Такой набор делает удаление видимых компонентов недостаточным. Даже после стандартных remediation attempts вредоносное ПО может сохранять foothold и восстанавливаться после reboot.

Почему переход на Microsoft Teams важен

Использование Microsoft Teams для initial access отражает более широкую тенденцию среди threat actors: они все чаще выбирают platforms for collaboration как более удобный и менее контролируемый entry point, чем traditional email channels. Внешняя федерация и коммуникации через подобные сервисы нередко вызывают меньше подозрений у пользователей, что повышает эффективность social engineering.

По мнению авторов отчета, подобная стратегия может распространиться и на другие collaboration platforms. Это означает, что организациям необходимо пересматривать свои security posture в отношении external communication tools, а не ограничиваться защитой почтового трафика.

Рекомендации для команд безопасности

Эксперты советуют усиливать контроль над external federation в Teams и proactivly monitor indicators активности ModeloRAT. Особое внимание следует уделять признакам, связанным с portable Python installations в директориях AppData пользователей, поскольку это прямо коррелирует с IOCs данной кампании.

Кроме того, перед тем как считать host безопасным, необходимо проводить full audits всех persistence mechanisms. Это важно для того, чтобы убедиться: в системе не осталось следов compromise, способных дать злоумышленнику возможность восстановить access.

Переход KongTuke к Microsoft Teams показывает, что злоумышленники все активнее используют доверенные collaboration tools как средство доставки социальной инженерии и закрепления в инфраструктуре.

Вывод

Эволюция тактик KongTuke демонстрирует сдвиг в сторону более активной social engineering, построенной вокруг современных collaboration platforms, в сочетании с advanced malware, нацеленным на persistence и resilience против traditional detection and response methods. Для организаций это означает необходимость более строгого контроля внешних каналов общения и постоянного мониторинга признаков компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: