黑客利用Microsoft Teams进行盗窃账户

微软针对网络犯罪分子开展的一项新的钓鱼活动发出了警告。该攻击利用了 Teams 消息作为诱饵，潜入企业网络内收集敏感的数据。

在谷歌威胁情报团队的控制下，该犯罪分子被命名为 Storm-0324，并以 TA543 、Sigrid或者别名 Storm-0324 进行密切监控。微软的安全研究人员注意到，Storm-0324 这个有经济犯罪动机的网络组织已经开始使用 Teams 来锁定潜在的受害者，他们认为这是一种很容易访问受害者计算机系统的手段。

作为网络经济犯罪中的有效载荷分发者，Storm-0324 提供的服务可以规避感染链，并以此传播用于攻击的各种有效载荷。本研究发现恶意软件类型多种多样，其中包括下载器、银行木马、勒索软件以及各种模块化的工具包，如 Nymaim、Gozi、TrickBot、IcedID、Gootkit、Dridex、Sage、GandCrab 和 JSSLoader。

攻击者过去曾使用以发票和付款单作为诱饵的电子邮件，诱骗用户下载带有 JSSLoader 的 ZIP托管文件，JSSLoader 是一种恶意软件加载器，能够在受感染的机器上配置和加载额外的有效载荷。

据微软称，Storm-0324 也是一个恶意软件分发者，并为其他的恶意软件作者分发有效载荷。该团伙采用了各种规避策略，并利用付款和发票引诱受害者上当。事实证明，该团伙曾为 FIN7 和 Cl0p 这两个著名的俄罗斯网络犯罪团伙分发过恶意软件。

据发现，Storm-0324 还负责在 Teams 上传播网络钓鱼诈骗。网络犯罪分子利用 TeamsPhisher 来扩大网络钓鱼攻击的规模，它允许团队租户将文件附加发送给外部租户的消息内。

攻击者向受害者发送链接，引导他们访问托管的恶意 SharePoint 文件。微软此前曾表示，导致这些攻击的 Microsoft Teams 漏洞尚未达到立即修复的程度。

企业管理员可以通过修改安全设置，只允许某些域与员工进行通信，或者让租户无法与员工在其办公场所以外的地方进行联系，这样可以最大限度地降低这种风险。

此外，微软还解释说，目前它已进行了多项改进，确保自己免受此类威胁，并提高防御能力。他们还增强了 Teams 一对一聊天中的 "接受/阻止"（Accept/Block）功能，并冻结了存在欺诈行为的账户和租户。

通过这种方式，可以提醒团队用户注意电子邮件地址是否合法，从而在与未知的或恶意发件的人进行交互时更加的谨慎，避免与这些用户进行交互。此外，微软还增强了租户管理员在租户中创建新域时的通知功能，这可以使他们能够监控这些租户是否已经创建了新的域。

据悉，该组织在其网络钓鱼攻击中利用了先前被入侵的 Microsoft 365 实例（其中大部分属于小型企业）来创建新域，不过这些新域看起来像是小型企业的技术支持帐户。

然后这些人随后会被该攻击者说服，批准攻击者通过Teams消息发起的多因素身份验证提示，使用已重命名并用于设置实例的新 onmicrosoft.com 子域。

参考及来源：https://www.cysecurity.news/2023/09/ransomware-access-broker-leverages.html