关键词
Sophos 托管检测和响应 (MDR) 发现了两起不同的勒索软件活动,它们利用 Microsoft Teams 获取目标组织的未经授权的访问。 被追踪为 STAC5143 和 STAC5777 的威胁行为者正在利用默认的 Microsoft Teams 配置,该配置允许外部用户发起与内部用户的聊天或会议。 攻击方法涉及多种类型和方法,更加复杂。 除此之外,Sophos 的研究人员还指出,威胁行为者采用了多步骤方法:
STAC5143 活动:STAC5143 活动是一项复杂的网络行动,它使用各种工具和技术来渗透和控制目标系统。该活动的核心是利用 Java 存档 (JAR) 文件以及基于 Python 的后门在受感染的机器上建立立足点。 其关键组件之一是部署混淆版本的 RPivot,这是一种反向 SOCKS 代理工具,使攻击者能够保持对受害者网络的隐秘访问。 为了进一步逃避检测,该活动采用了 lambda 函数进行代码混淆,这种方法让人想起臭名昭著的 FIN7 网络犯罪集团使用的方法。最后,STAC5143 操作员通过端口 80 与其 C2 服务器建立连接,可能是为了试图融入正常的 HTTP 流量并绕过常见的安全措施。
winter.zip 档案中 RPivot 混淆副本中的 Python 代码(来源 – Sophos) STAC5777 活动:STAC5777 活动是一次复杂的网络攻击,它结合使用合法软件和恶意组件来渗透并驻留在目标系统中。 它使用名为 winhttp.dll 的恶意 DLL,该 DLL 由合法的 Microsoft 可执行文件 OneDriveStandaloneUpdater.exe 侧载。该活动使用未签名的 OpenSSL 工具包驱动程序建立命令和控制 (C2) 连接,从而增强了其逃避检测的能力。 为了保持持久性,攻击者修改了 Windows 注册表,在“HKLM\SOFTWARE\TitanPlus”下添加了指定 C2 服务器地址的条目。此外,该活动还创建了一个服务和一个 .lnk 文件,以确保它在受感染的系统上保持活动状态。对于横向移动,STAC5777 会进行 SMB 扫描,从而允许其在网络中传播。 为了禁用安全措施,该恶意软件会尝试卸载安全软件和多因素身份验证 (MFA) 解决方案,这可能会使系统更容易受到进一步的攻击。 这些活动中使用的恶意软件可以执行以下操作:
在一个案例中,STAC5777 试图部署 Black Basta 勒索软件,但被 Sophos 端点保护阻止。 组织应限制来自外部实体的 Teams 呼叫,限制使用快速助手等远程访问工具,并实施应用程序控制设置,以防止未经授权的快速助手执行。 不仅如此,他们还应该利用 Microsoft Office 365 集成来加强安全监控。 Sophos 已部署针对这些活动中使用的恶意软件的检测,包括 ATK/RPivot-B、Python/Kryptic.IV 和 Troj/Loader-DV。 来源:https://cybersecuritynews.com/threat-actors-delivering-ransomware-via-microsoft-teams/ 安全圈 网罗圈内热点 专注网络安全 实时资讯一手掌握! 好看你就分享 有用就点个赞 支持「安全圈」就点个三连吧! |
