威胁者利用语音通话通过 Microsoft Teams 传播勒索软件

Sophos 托管检测和响应 (MDR) 发现了两起不同的勒索软件活动，它们利用 Microsoft Teams 获取目标组织的未经授权的访问。

被追踪为 STAC5143 和 STAC5777 的威胁行为者正在利用默认的 Microsoft Teams 配置，该配置允许外部用户发起与内部用户的聊天或会议。

攻击方法涉及多种类型和方法，更加复杂。

除此之外，Sophos 的研究人员还指出，威胁行为者采用了多步骤方法：

1. 电子邮件轰炸：不到一小时，目标就会被多达 3,000封垃圾邮件淹没。

2. 社会工程学：攻击者冒充 IT 支持人员，向受害者发起 Microsoft Teams 电话呼叫。

3. 远程访问：威胁行为者引导受害者安装 Microsoft Quick Assist 或使用 Teams 的内置远程控制功能。

4. 恶意软件部署：一旦控制，攻击者就会执行恶意负载。

STAC5143 活动：STAC5143 活动是一项复杂的网络行动，它使用各种工具和技术来渗透和控制目标系统。该活动的核心是利用 Java 存档 (JAR) 文件以及基于 Python 的后门在受感染的机器上建立立足点。

其关键组件之一是部署混淆版本的 RPivot，这是一种反向 SOCKS 代理工具，使攻击者能够保持对受害者网络的隐秘访问。

为了进一步逃避检测，该活动采用了 lambda 函数进行代码混淆，这种方法让人想起臭名昭著的 FIN7 网络犯罪集团使用的方法。最后，STAC5143 操作员通过端口 80 与其 C2 服务器建立连接，可能是为了试图融入正常的 HTTP 流量并绕过常见的安全措施。

STAC5777 活动：STAC5777 活动是一次复杂的网络攻击，它结合使用合法软件和恶意组件来渗透并驻留在目标系统中。

它使用名为 winhttp.dll 的恶意 DLL，该 DLL 由合法的 Microsoft 可执行文件 OneDriveStandaloneUpdater.exe 侧载。该活动使用未签名的 OpenSSL 工具包驱动程序建立命令和控制 (C2) 连接，从而增强了其逃避检测的能力。

为了保持持久性，攻击者修改了 Windows 注册表，在“HKLMSOFTWARETitanPlus”下添加了指定 C2 服务器地址的条目。此外，该活动还创建了一个服务和一个 .lnk 文件，以确保它在受感染的系统上保持活动状态。对于横向移动，STAC5777 会进行 SMB 扫描，从而允许其在网络中传播。

为了禁用安全措施，该恶意软件会尝试卸载安全软件和多因素身份验证 (MFA) 解决方案，这可能会使系统更容易受到进一步的攻击。

这些活动中使用的恶意软件可以执行以下操作：

• 收集系统和操作系统详细信息

• 收集用户凭证

• 使用 Windows API 函数记录击键

• 执行网络发现和横向移动

• 泄露敏感数据

Microsoft Office 365 集成捕获的威胁行为者的传入活动（来源 – Sophos）

在一个案例中，STAC5777 试图部署 Black Basta 勒索软件，但被 Sophos 端点保护阻止。

组织应限制来自外部实体的 Teams 呼叫，限制使用快速助手等远程访问工具，并实施应用程序控制设置，以防止未经授权的快速助手执行。

不仅如此，他们还应该利用 Microsoft Office 365 集成来加强安全监控。

Sophos 已部署针对这些活动中使用的恶意软件的检测，包括 ATK/RPivot-B、Python/Kryptic.IV 和 Troj/Loader-DV。

来源：https://cybersecuritynews.com/threat-actors-delivering-ransomware-via-microsoft-teams/