Seedworm атакует через Microsoft Teams и Deno-бэкдор

Недавняя киберкампания, которую исследователи атрибутируют иранской APT-группировке Seedworm, демонстрирует, как злоумышленники все активнее используют Microsoft Teams и другие платформы для совместной работы в качестве точки входа в корпоративную инфраструктуру. В отличие от классических фишинговых рассылок, эта операция строилась на social engineering и тщательной маскировке под легитимную ИТ-поддержку.

Как начиналась атака

По данным отчета, первая стадия атаки строилась на Impersonation: злоумышленник выдавал себя за специалиста ИТ-поддержки под именем Sara Wilson и связывался с жертвой через поддельный домен Microsoft 365. Целью было убедить пользователя выполнить «необходимое» действие для устранения якобы возникшей технической проблемы.

В качестве следующего шага жертве предлагалось запустить вредоносный установщик, замаскированный под пакет обновления Windows, — update_ms.msi. На самом деле этот файл был первоначальным загрузчиком для пользовательского бэкдора Dindoor.

Что происходило после запуска

После активации Dindoor устанавливал несколько вредоносных компонентов в скрытый каталог. Отдельного внимания заслуживает то, что атака использовала Deno — легитимную среду выполнения JavaScript и TypeScript — для запуска сильно обфусцированной полезной нагрузки DINODANCE, закодированной в Base64.

Такой подход позволил выполнять вредоносный код непосредственно в памяти, практически не оставляя артефактов на диске. Это заметно повысило скрытность операции и усложнило ее обнаружение средствами защиты.

Связь с удаленным управлением и сбор данных

После запуска DINODANCE устанавливал соединение C2 с удаленными серверами. В ходе обмена злоумышленники получали системные метаданные, включая:

• имена пользователей;
• имена хостов;
• информацию об операционной системе.

Отдельно отмечается, что инфраструктура C2, связанная с этой атакой, пересекалась с ранее описанной инфраструктурой, которую исследователи связывали с группой MuddyWater.

Закрепление в системе

Чтобы сохранить присутствие в целевой среде, злоумышленники использовали сценарий PowerShell tango13.ps1. Он извлекал дополнительную полезную нагрузку с активных серверов, контролируемых атакующими.

Кроме того, закрепление обеспечивалось путем создания вредоносного ключа автозапуска в реестре, замаскированного под “Universal Service Realtek HD Audio”. Такая техника позволяла вредоносному ПО выглядеть как часть легитимной системной функциональности.

Почему это важно

Этот инцидент показывает, что Seedworm сочетает социальную инженерию, инструменты двойного назначения и выполнение в памяти, выстраивая сложную и адаптивную цепочку атаки. Использование Microsoft Teams в качестве канала первоначального доступа особенно показательно: традиционная защита, ориентированная прежде всего на электронную почту, в таких сценариях оказывается недостаточной.

Постоянный мониторинг и упреждающая разведка угроз остаются необходимыми для противодействия таким продвинутым и эволюционирующим киберугрозам.

Для организаций это означает необходимость усиливать меры безопасности не только на уровне почтовых сервисов, но и в средах совместной работы, где доверие к внутренним коммуникациям часто становится уязвимым местом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.