Sophos 托管檢測與響應(yīng)（MDR）團(tuán)隊(duì)發(fā)現(xiàn)了兩起勒索軟件攻擊活動(dòng)，攻擊者利用Microsoft Teams獲取目標(biāo)組織未授權(quán)訪問權(quán)限。

這兩起攻擊活動(dòng)分別由代號STAC5143和STAC5777的威脅行為者發(fā)起，他們利用Microsoft Teams的默認(rèn)配置，允許外部用戶與內(nèi)部用戶發(fā)起聊天或會(huì)議。

Sophos 研究人員指出，威脅行為者采用了多步驟的攻擊策略，攻擊手法多樣且復(fù)雜：

• 郵件轟炸：目標(biāo)在一小時(shí)內(nèi)收到多達(dá) 3,000 封垃圾郵件。
• 社交工程：攻擊者偽裝成 IT 支持人員，通過 Microsoft Teams 呼叫受害者。
• 遠(yuǎn)程訪問：威脅行為者引導(dǎo)受害者安裝 Microsoft Quick Assist 或使用 Teams 內(nèi)置的遠(yuǎn)程控制功能。
• 惡意軟件部署：一旦獲得控制權(quán)，攻擊者會(huì)執(zhí)行惡意負(fù)載。

攻擊活動(dòng)詳情

(1) STAC5143攻擊活動(dòng)

• 使用 Java 歸檔文件（JAR）和基于 Python 的后門程序。
• 部署了經(jīng)過混淆的 RPivot（一種反向 SOCKS 代理工具）。
• 使用類似于 FIN7 技術(shù)的 Lambda 函數(shù)進(jìn)行代碼混淆。
• 通過 80 端口連接到命令與控制（C2）服務(wù)器。

Python代碼來自winter.zip存檔中的混淆RPivot副本（來源：Sophos ）

(2) STAC5777攻擊活動(dòng)

• 利用合法的 Microsoft 可執(zhí)行文件（OneDriveStandaloneUpdater.exe）側(cè)加載惡意 DLL（winhttp.dll）。
• 使用未簽名的 OpenSSL 工具包驅(qū)動(dòng)程序建立 C2 連接。
• 修改注冊表：

reg add "HKLM\SOFTWARE\TitanPlus" /v 1 /t REG_SZ /d "185.190.251.16:443;207.90.238.52:443;89.185.80.86:443" /f

• 創(chuàng)建服務(wù)和 .lnk 文件以實(shí)現(xiàn)持久化。
• 進(jìn)行 SMB 掃描以實(shí)現(xiàn)橫向移動(dòng)。
• 嘗試卸載安全軟件和多因素認(rèn)證（MFA）解決方案。

惡意軟件功能

這些攻擊活動(dòng)中使用的惡意軟件能夠進(jìn)行以下操作：

• 收集系統(tǒng)和操作系統(tǒng)信息。
• 獲取用戶憑據(jù)。
• 使用 Windows API 記錄鍵盤輸入。
• 進(jìn)行網(wǎng)絡(luò)發(fā)現(xiàn)和橫向移動(dòng)。
• 竊取敏感數(shù)據(jù)。

攻擊者的活動(dòng)被Microsoft Office 365集成捕獲（來源：Sophos ）

在一次攻擊中，STAC5777試圖部署B(yǎng)lack Basta勒索軟件，但被Sophos終端防護(hù)成功攔截。

緩解策略建議

• 限制來自外部組織的 Teams 通話。
• 限制使用 Quick Assist 等遠(yuǎn)程訪問應(yīng)用程序。
• 實(shí)施應(yīng)用程序控制設(shè)置，阻止未經(jīng)授權(quán)的 Quick Assist 執(zhí)行。
• 利用 Microsoft Office 365 集成進(jìn)行安全監(jiān)控。
• 提高員工對社交工程攻擊的防范意識。

Sophos 已針對這些攻擊活動(dòng)中使用的惡意軟件部署了檢測機(jī)制，包括 ATK/RPivot-B 、Python/Kryptic.IV 和 Troj/Loader-DV 。

參考鏈接：https://cybersecuritynews.com/threat-actors-delivering-ransomware-via-microsoft-teams/