Mandiantの新しいレポートによると、ハッカーがMicrosoft Teamsのヘルプデスク従業員になりすまし、被害者をデータ盗聴型マルウェアのインストールに騙しています。
新しく追跡される脅威グループUNC6692に属するこのキャンペーンは、メールの大量送信、フィッシングメッセージ、悪意のあるブラウザ拡張機能を組み合わせて企業システムへのアクセスを得ており、Googleが所有するサイバーセキュリティ企業の研究者が述べています。
この作戦は、対象のメールボックスを圧倒するように設計された大量のメールから始まり、その後、攻撃者は被害者の組織外のアカウントを使用してMicrosoft Teamsを通じて連絡を取り、メール混乱への対応を提供するITサポート従業員になりすまします。
会話中に、被害者はスパムを停止するためのものに見える「パッチ」をインストールするよう指示されます。リンクをクリックすると、「メールボックス修復ユーティリティ」に見せかけたウェブサイトが開き、ユーザーにスクリプトをダウンロードするよう促され、最終的にSnowBeltという悪意のあるブラウザ拡張機能をインストールすることになります。Mandiantによると。
SnowBeltはバックドアとして機能し、攻撃者が企業アカウントへのアクセスを維持し、繰り返しの認証なしに内部システムを移動することができます。
インストールされると、この拡張機能はSnowGlazeおよびSnowBasinというマルウェアツール、AutoHotkyスクリプト、さらなる悪意のあるコードを実行するために使用されるポータブルPython環境を含む追加コンポーネントをダウンロードできます。
フィッシングページ自体は、侵害の可能性を高めるためにいくつかのソーシャルエンジニアリング技術を使用しています。被害者がMicrosoft Edge以外のブラウザからページにアクセスしようとする場合、サイトはユーザーにEdgeに切り替えるよう促す永続的なオーバーレイを表示し、攻撃が最も効果的なブラウザ環境に誘導します。
別のトリックはログイン試行中のユーザー行動を対象にしています。認証情報収集スクリプトは最初の2つのパスワード送信を意図的に拒否し、被害者に認証情報を再入力させます。研究者によると、この戦術は正当なシステムの幻想を強化し、攻撃者がパスワードを2回キャプチャするのを確保し、盗まれたデータのエラーの可能性を減らします。
「UNC6692キャンペーンは戦術における興味深い進化を示しています」とMandiantの研究者は述べました。「ユーザーが一般的なエンタープライズプラットフォームに置く信頼を利用しながら、ソーシャルエンジニアリング、カスタムマルウェア、悪意のあるブラウザ拡張機能を組み合わせています。」
翻訳元: https://therecord.media/microsoft-teams-hackers-mandiant
