Hakerzy Wykorzystują Microsoft Teams do Wdrożenia Malware’u

Niedawne naruszenie cyberbezpieczeństwa ujawniło, jak atak socjotechniczny, wykorzystujący phishing głosowy (vishing) za pośrednictwem Microsoft Teams, umożliwił złośliwemu podmiotowi wdrożenie złośliwego oprogramowania DarkGate na systemie ofiary.

Atak, przeanalizowany przez Zespół do Zarządzania Wykrywaniem i Reagowaniem Trend Micro (MDR), podkreśla ewolucyjny charakter zagrożeń cybernetycznych i krytyczne znaczenie solidnych strategii obronnych. Atak rozpoczął się, kiedy ofiara otrzymała kilka tysięcy e-maili, zanim napastnik, udający przedstawiciela klienta, zadzwonił za pośrednictwem Microsoft Teams.

Osoba podszywająca się kazała ofierze pobrać aplikację Microsoft Remote Support, ale po nieudanej próbie instalacji, sprawca przekonał ofiarę do pobrania AnyDesk, prawdziwego narzędzia do zdalnego pulpitu.

Następnie atakujący kierował ofiarą, instruując ją, jak wprowadzić swoje dane uwierzytelniające, co umożliwiło nieautoryzowany dostęp do systemu.

Po wejściu do systemu, atakujący zrzucił wiele podejrzanych plików, z których jeden został zidentyfikowany jako Trojan.AutoIt.DARKGATE.D, inicjując serię poleceń. Doprowadziło to do połączenia z potencjalnym serwerem poleceń i kontroli (C&C), umożliwiając atakującemu wykonanie dalszych złośliwych działań.

Chociaż atak został zatrzymany przed jakimkolwiek wykradzeniem danych, podkreślił kilka słabości w zarządzaniu zdalnym dostępem i taktykach inżynierii społecznej.

Napastnik użył skryptów AutoIt, aby zdobyć zdalną kontrolę nad komputerem ofiary, wykonując polecenia w celu zebrania informacji o systemie i ustanowienia bardziej trwałego punktu zaczepienia.

Co zasługuje na uwagę, proces AutoIt3.exe wykonał serię poleceń, które pobrały dodatkowe złośliwe oprogramowanie, w tym skrypty próbujące połączyć się z zewnętrznymi adresami IP. Malware został zaprojektowany tak, aby unikać wykrycia, szukając produktów antywirusowych i tworząc wiele losowych plików, aby zasłonić swoją obecność.

Ostatecznym celem ataku wydawało się być instalacja ostatecznego ładunku DarkGate. Ten ładunek umożliwiłby agresorowi kontrolowanie systemu ofiary i potencjalne wykradzenie wrażliwych danych. Jednakże atak został wykryty na czas, co uniemożliwiło napastnikowi osiągnięcie jego celu.

Aby bronić się przed takimi atakami, eksperci zalecają organizacjom dokładne sprawdzenie dostawców wsparcia technicznego. Narzędzia do zdalnego dostępu, takie jak AnyDesk, powinny być umieszczone na białej liście i monitorowane, a uwierzytelnianie wieloskładnikowe (MFA) powinno być włączone, aby zapobiec nieautoryzowanemu dostępowi.

Dodatkowo, pracownicy powinni regularnie przechodzić szkolenia pozwalające na rozpoznawanie taktyk inżynierii społecznej i prób phishingowych, które nadal stanowią kluczowy wektor dla ataków cybernetycznych.