Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Две кампании группировок используют Microsoft Teams для проникновения в организации

23/01/25

images (1)-2

Sophos начала расследование инцидентов в ноябре и декабре 2024 года. Обе группы используют собственные учетные записи Microsoft Office 365 для подготовки атак и задействуют стандартные настройки Teams, позволяющие внешним пользователям связываться с сотрудниками целевых организаций, пишет Securitylab.

STAC5143 и STAC5777 применяют схожие тактики. Атака начинается с массовой рассылки спам-писем — до 3000 сообщений за час. Цель — перегрузить почтовые ящики сотрудников и создать ощущение срочности. Затем злоумышленники связываются через Teams, представляясь сотрудниками техподдержки и убеждая жертву предоставить доступ к устройству.

Получив доступ к устройствам, хакеры устанавливают вредоносное ПО, используя легитимные сервисы Microsoft Quick Assist и Teams. Используя учетные записи сотрудников, атакующие получают доступ к другим системам через VPN, RDP и Windows Remote Management.

STAC5143 делает акцент на автоматизации. Злоумышленники используют Java-архивы (JAR), Python и удалённые ресурсы, такие как SharePoint, для загрузки бэкдоров. В одной из атак были выявлены JAR-файлы, которые извлекали архивы с вредоносным кодом и исполняли команды через PowerShell, обходя стандартные механизмы защиты Windows.

STAC5777, напротив, полагается на «ручные» действия: киберпреступники получают доступ к устройствам с помощью Quick Assist и далее вручную устанавливают вредоносное ПО. Группа связана с программой-вымогателем Black Basta, которую удалось заблокировать в одном из инцидентов .

Sophos предупреждает, что использование Microsoft Teams и других сервисов может представлять угрозу при отсутствии соответствующих настроек. Для защиты организации рекомендуется:

  • Ограничить возможность подключения к Teams с внешних доменов.
  • Заблокировать использование Quick Assist, если это не предусмотрено политиками компании.
  • Установить интеграцию Office 365 с системой мониторинга безопасности.
  • Провести обучение сотрудников, чтобы повысить осведомленность об угрозах.
Темы:УгрозыSophosMicrosoft TeamsBlack Basta
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...