0
0
Um ator de ameaça conhecido por fornecer acesso inicial a sistemas corporativos a gangues de ransomware tem feito phishing em funcionários por meio do Microsoft Teams.
“Para esta atividade, o Storm-0324 provavelmente depende de uma ferramenta disponível publicamente chamada TeamsPhisher ”, observaram os pesquisadores de ameaças da Microsoft.
Sobre Tempestade-0324
Storm-0324 é um nome temporário atribuído pela Microsoft a este ator de ameaça específico e mostra que a empresa ainda não atingiu um nível elevado de confiança sobre a origem ou identidade do ator por trás da operação.
O que eles sabem é que o Storm-0324 existe há mais de 8 anos e já usou kits de exploração e vetores baseados em e-mail para entregar uma variedade de cargas úteis de malware: trojans bancários (Gootkit, Dridex), malware para roubo de informações (IcedID , Gozi), ransomware (Sage, GandCrab) e Trickbot .
A Microsoft diz que Storm-0324 começou a usar iscas de phishing enviadas pelo Teams com links maliciosos que levavam a um arquivo malicioso hospedado no SharePoint em julho de 2023 – embora eles não digam qual carga maliciosa o arquivo carregava.
Eles também observaram que esta campanha de phishing específica não está relacionada a outra semelhante montada por um grupo russo APT.
Defenda sua empresa contra phishing e ransomware do Microsoft Teams
“Como o Storm-0324 dispensa o acesso a outros atores de ameaças, identificar e remediar a atividade do Storm-0324 pode evitar ataques subsequentes mais perigosos, como ransomware”, alertaram os pesquisadores, e forneceram conselhos de proteção e consultas de busca para defensores corporativos .
A Microsoft disse anteriormente que a vulnerabilidade do Microsoft Teams que permite esses ataques “não atendeu aos padrões de manutenção imediata”.
Mas os administradores corporativos podem tomar medidas para minimizar essa ameaça, como impossibilitar que inquilinos externos entrem em contato com seus funcionários ou alterem as configurações de segurança para permitir apenas a comunicação com determinados domínios listados como permitidos. (Este último não ajudará se um inquilino externo com permissão de contato tiver sido comprometido.)
A Microsoft também observa que lançou várias melhorias para melhor se defender contra essas ameaças.
Além de suspender contas identificadas e locatários associados a comportamento inautêntico ou fraudulento, eles também aprimoraram a experiência de Aceitar/Bloquear em bate-papos individuais no Teams, “para enfatizar a externalidade de um usuário e seu endereço de e-mail para que os usuários do Teams possam melhor tenha cuidado ao não interagir com remetentes desconhecidos ou maliciosos.”
Além disso, existem “novas restrições à criação de domínios dentro de locatários e notificações aprimoradas para administradores de locatários quando novos domínios são criados em seus locatários”.
FONTE: HELP NET SECURITY