新たに発見されたサイバー脅威グループUNC6692は、ソーシャルエンジニアリングとカスタムマルウェアを組み合わせて企業をターゲットにしています。
攻撃者はMicrosoft Teamsを悪用してITヘルプデスク職員になりすまし、従業員に悪意あるツールをインストールさせ、ネットワーク侵害とデータ盗難につながります。
攻撃はターゲットを圧倒するために設計されたメール爆撃キャンペーンで始まります。被害者はスパムメール数が殺到し、混乱と緊急性が生じます。
気を取られている間に、攻撃者は外部アカウントを使用してMicrosoft Teamsを経由してユーザーに連絡します。
ITサポートのふりをして、攻撃者はスパム問題を停止するための「ローカルパッチ」の形で迅速な修正を提供します。このメッセージは正当性があるように見え、ユーザーとのインタラクションの可能性を高めます。
被害者がリンクをクリックすると、偽の「メールボックス修復ユーティリティ」ページにリダイレクトされます。ページはユーザーにMicrosoft Edgeで開いて認証情報を入力するよう強制します。
攻撃者が管理するAmazon Web Services (AWS) サーバに送信する前に、正しいパスワードが取得されることを確認するために、最初のログイン試行を意図的に拒否します。
一方、偽のプログレスバーは、悪意あるファイルが静かに配信されている間、被害者を関与させ続けます。
初期ペイロードには、バックグラウンドで静かに実行されるAutoHotkey スクリプトが含まれています。感染したシステムにスケジュールされたタスクを作成して永続性を確立し、「SNOW」エコシステムとして知られるモジュラーマルウェアツールキットをデプロイします。
これらのツールを組み合わせることで、攻撃者は侵害されたマシンを深く制御することができます。
初期アクセスを取得した後、UNC6692はPythonスクリプトを使用してネットワーク全体を横方向に移動し、システムをスキャンしてバックアップサーバを見つけます。
攻撃者はLSASSプロセスからメモリをダンプしてパスワードハッシュを抽出します。これらのハッシュはオフラインで破られ、Pass-the-Hash攻撃でドメインコントローラにアクセスするために使用されます。
重要なデータを盗むために、攻撃者はMicrosoft Edgeを経由してFTK Imagerなどの正当なフォレンジックツールをダウンロードします。これらのツールを使用してActive DirectoryデータベースをコピーしてLimeWireなどのプラットフォームを使用してそれを流出させます。
このキャンペーンは、攻撃者がMicrosoft TeamsやAWSなどの信頼されたサービスを悪用する「クラウドで生活する」と呼ばれる成長する傾向を強調しています。
これらのプラットフォームは広く使用されているため、従来のセキュリティツールは悪意あるアクティビティを検出できないことがよくあります。
組織はブラウザ監視を強化し、外部Teams通信を制限し、標準アンチウイルスソリューションを超えた高度な脅威検出を実装する必要があります。
セキュリティチームは、これらのインジケータを監視し、異常なTeamsベースの通信を確認して、侵害の初期兆候を検出するようアドバイスされています。
翻訳元: https://cyberpress.org/hackers-exploit-microsoft-microsoft-teams/