Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Две кампании группировок используют Microsoft Teams для проникновения в организации

23/01/25

images (1)-2

Sophos начала расследование инцидентов в ноябре и декабре 2024 года. Обе группы используют собственные учетные записи Microsoft Office 365 для подготовки атак и задействуют стандартные настройки Teams, позволяющие внешним пользователям связываться с сотрудниками целевых организаций, пишет Securitylab.

STAC5143 и STAC5777 применяют схожие тактики. Атака начинается с массовой рассылки спам-писем — до 3000 сообщений за час. Цель — перегрузить почтовые ящики сотрудников и создать ощущение срочности. Затем злоумышленники связываются через Teams, представляясь сотрудниками техподдержки и убеждая жертву предоставить доступ к устройству.

Получив доступ к устройствам, хакеры устанавливают вредоносное ПО, используя легитимные сервисы Microsoft Quick Assist и Teams. Используя учетные записи сотрудников, атакующие получают доступ к другим системам через VPN, RDP и Windows Remote Management.

STAC5143 делает акцент на автоматизации. Злоумышленники используют Java-архивы (JAR), Python и удалённые ресурсы, такие как SharePoint, для загрузки бэкдоров. В одной из атак были выявлены JAR-файлы, которые извлекали архивы с вредоносным кодом и исполняли команды через PowerShell, обходя стандартные механизмы защиты Windows.

STAC5777, напротив, полагается на «ручные» действия: киберпреступники получают доступ к устройствам с помощью Quick Assist и далее вручную устанавливают вредоносное ПО. Группа связана с программой-вымогателем Black Basta, которую удалось заблокировать в одном из инцидентов .

Sophos предупреждает, что использование Microsoft Teams и других сервисов может представлять угрозу при отсутствии соответствующих настроек. Для защиты организации рекомендуется:

  • Ограничить возможность подключения к Teams с внешних доменов.
  • Заблокировать использование Quick Assist, если это не предусмотрено политиками компании.
  • Установить интеграцию Office 365 с системой мониторинга безопасности.
  • Провести обучение сотрудников, чтобы повысить осведомленность об угрозах.
Темы:УгрозыSophosMicrosoft TeamsBlack Basta
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...