23/01/25
-2.jpg?width=275&height=183&name=images%20(1)-2.jpg)
Sophos начала расследование инцидентов в ноябре и декабре 2024 года. Обе группы используют собственные учетные записи Microsoft Office 365 для подготовки атак и задействуют стандартные настройки Teams, позволяющие внешним пользователям связываться с сотрудниками целевых организаций, пишет Securitylab.
STAC5143 и STAC5777 применяют схожие тактики. Атака начинается с массовой рассылки спам-писем — до 3000 сообщений за час. Цель — перегрузить почтовые ящики сотрудников и создать ощущение срочности. Затем злоумышленники связываются через Teams, представляясь сотрудниками техподдержки и убеждая жертву предоставить доступ к устройству.
Получив доступ к устройствам, хакеры устанавливают вредоносное ПО, используя легитимные сервисы Microsoft Quick Assist и Teams. Используя учетные записи сотрудников, атакующие получают доступ к другим системам через VPN, RDP и Windows Remote Management.
STAC5143 делает акцент на автоматизации. Злоумышленники используют Java-архивы (JAR), Python и удалённые ресурсы, такие как SharePoint, для загрузки бэкдоров. В одной из атак были выявлены JAR-файлы, которые извлекали архивы с вредоносным кодом и исполняли команды через PowerShell, обходя стандартные механизмы защиты Windows.
STAC5777, напротив, полагается на «ручные» действия: киберпреступники получают доступ к устройствам с помощью Quick Assist и далее вручную устанавливают вредоносное ПО. Группа связана с программой-вымогателем Black Basta, которую удалось заблокировать в одном из инцидентов .
Sophos предупреждает, что использование Microsoft Teams и других сервисов может представлять угрозу при отсутствии соответствующих настроек. Для защиты организации рекомендуется:
- Ограничить возможность подключения к Teams с внешних доменов.
- Заблокировать использование Quick Assist, если это не предусмотрено политиками компании.
- Установить интеграцию Office 365 с системой мониторинга безопасности.
- Провести обучение сотрудников, чтобы повысить осведомленность об угрозах.
