Microsoft ha rilevato che il gruppo di minacce tracciato come Storm-0324, noto per aver per aver distribuito i ransomware Sage e GandCrab in passato, adesso sta distribuendo attacchi di phishing tramite le chat di Microsoft Teams per violare le reti aziendali.
Storm-0324 è un gruppo motivato dal punto di vista finanziario. È noto, inoltre, per aver collaborato con altri gruppi di ransomware e per aver fornito alla famigerata banda di cybercriminali FIN7 l’accesso alle reti aziendali dopo averle compromesse utilizzando JSSLoader, Gozi e Nymaim.
A partire da luglio 2023, Storm-0324 ha iniziato a distribuire payload utilizzando uno strumento open source per inviare esche di phishing tramite le chat di Microsoft Teams. Storm-0324 gestisce una catena di distribuzione di malware e ha utilizzato kit di exploit e vettori basati su e-mail per fornire payload di malware. Le catene di posta elettronica dell’attore sono altamente evasive e utilizzano sistemi di distribuzione del traffico (TDS) come BlackTDS e Keitaro, che forniscono capacità di identificazione e filtraggio per personalizzare il traffico degli utenti, consentendo agli aggressori di eludere il rilevamento da parte di determinati intervalli IP che potrebbero essere soluzioni di sicurezza, come sandbox di malware, reindirizzando con successo anche le vittime al loro sito di download dannoso. Gli utenti vengono, infine, reindirizzati a un file compresso ospitato da SharePoint contenente JavaScript che scarica il payload DLL dannoso.
Storm-0324 ha utilizzato molti formati di file per lanciare JavaScript dannoso, inclusi documenti di Microsoft Office, Windows Script File (WSF) e VBScript, tra gli altri. I temi e-mail di Storm-0324 in genere fanno riferimento a fatture e pagamenti, imitando servizi come DocuSign, Quickbooks e altri.
Secondo gli esperti di Microsoft, per questa attività, Storm-0324 molto probabilmente si affida a uno strumento disponibile al pubblico chiamato TeamsPhisher che permette agli attaccanti di aggirare le restrizioni per i file in entrata da tenant esterni e inviare allegati di phishing agli utenti di Teams. Lo fa sfruttando un problema di sicurezza in Microsoft Teams scoperto dai ricercatori di sicurezza Jumpsec.
La questione, tuttavia, è stata sfruttata anche da APT29, la divisione di hacking del Servizio segreto straniero russo (SVR), per attaccare decine di organizzazioni, comprese agenzie governative in tutto il mondo.
Gli attacchi di APT29 miravano a rubare le credenziali degli obiettivi dopo averli indotti con l’inganno ad approvare le richieste di autenticazione a più fattori (MFA).
Adesso Microsoft ha dichiarato che da allora sta lavorando per fermare questi attacchi e proteggere i clienti di Teams.
“Microsoft prende molto sul serio queste campagne di phishing e ha implementato numerosi miglioramenti per difendersi meglio da queste minacce”, ha dichiarato Microsoft.
“Abbiamo anche implementato miglioramenti all’esperienza Accetta/Blocca nelle chat individuali all’interno di Teams, per enfatizzare l’esternalità di un utente e il suo indirizzo email in modo che gli utenti di Teams possano prestare maggiore attenzione non interagendo con mittenti sconosciuti o dannosi”, ha comunicato Microsoft.
“Abbiamo implementato nuove restrizioni sulla creazione di domini all’interno dei tenant e migliorato le notifiche agli amministratori dei tenant quando vengono creati nuovi domini all’interno dei loro tenant.”
Dopo aver rilevato gli attacchi di phishing di Storm-0324, Microsoft ha sospeso tutti i tenant e gli account utilizzati nella campagna.