En forskergruppe fra Kroll har observeret, at DARKGATE malware bliver leveret til brugere via filer delt i Microsoft Teams beskeder.
Disse malwarekampagner har målrettet transport- og hotelsektorerne. Filer, der er hostet på offentlige SharePoint-sider, blev downloadet og eksekveret af ofrene, hvilket førte til batch-scripts, der kopierede AutoIT tolken og scripts fra en fjendtlig kontrolleret infrastruktur.
DARKGATE nyttelasten blev injiceret i en kørende proces, og yderligere AutoIt scripts blev oprettet og brugt til vedvarende tilstedeværelse i brugerens Start Menu.
Dette synes at være en del af en bredere DARKGATE kampagne, som også er blevet rapporteret i åben kilde.
Dette fortsætter en stigning i Microsoft Teams-relateret social ingeniørkunst, der er blevet observeret siden Q2 2023, efter identifikationen af en sårbarhed i Teams, der er afhængig af organisationskonfigurationsændringer og brugerbevidsthed for at afbøde.
Sådan er malware angrebene foregået
Kroll har bemærket en stigning i tilfælde af DARKGATE malware, der bliver leveret gennem Microsoft Teams beskeder. Disse kampagner har primært målrettet organisationer inden for transport- og hotelbranchen. Denne aktivitet er også blevet rapporteret i åben kilde, og deler flere centrale indikatorer med Krolls observationer, såsom fælles filnavne, fjendtlig infrastruktur og lignende domænenavnskonventioner til at hoste den første download.
Kroll observerede, at filen var hostet på en offentlig SharePoint-side og blev oprindeligt leveret til flere ofre via Microsoft Teams beskeder. Filen, der blev hostet på dette websted og downloadet af offeret, hed "C_onfidential Sign_ificant Company Changes[.]zip", hvilket ser ud til at være en del af en generisk liste over lokkefilnavne for denne kampagne. Andre eksempler på filnavne, der blev observeret både af Kroll og i åben kilde, inkluderer "Vacation schedule[.]zip", "Reduction of employees[.]zip" og "Repair[.]zip". Både filnavnene i sig selv - og det faktum, at de er blevet observeret i flere tilfælde - fører os til at vurdere, at lokkerne næsten sikkert er en del af en generisk forudindstillet liste over lokker, i stedet for målrettet social ingeniørkunst specifikt mod den berørte organisation. DARKGATE Angrebskæde
Den downloadede zip-fil indeholdt en .LNK fil med samme navn som zip-filen. Når den blev eksekveret, kører .LNK filen et batch-script, der skriver og eksekverer et Visual Basic-script. Dette script opretter først en mappe, kopierer derefter curl.exe ind i mappen med et tilfældigt filnavn. Dernæst bruger det den omdøbte curl-eksekverbare til at downloade den legitime AutoIt scripttolk og et ondsindet AutoIt-script fra IP'en: 5[.]188[.]87[.]58. Dette script injicerede en nyttelast i legitime processer, der allerede var i hukommelsen, som blev identificeret som DARKGATE. Efter koden var injiceret, ville målprocessen oprette et AutoIT-script, der var unikt for hver vært. Det oprettede også en genvej i brugerens Start Menu til automatisk at starte scriptet ved hver login. Dette tillader vedvarende tilstedeværelse på tværs af brugersessioner.
Hvad er DARKGATE?
DARKGATE er en Windows-baseret malware, der har kapaciteter lige fra kryptominering, filkryptering, stjæle legitimationsoplysninger og fjernadgang til ofrets slutpunkter. Den blev første gang offentligt rapporteret i 2018; dog lavede forfatteren en post i maj 2023, hvor de erklærede, at de havde besluttet at udleje malwaren for et dagligt gebyr på ($333), månedligt ($10.000) eller livstids ($100.000) abonnement. I indlægget nævner de de omfattende foreslåede funktioner i malwaren, der identificerer dens fulde udvalg af kapaciteter, lige fra tastetryksovervågning og privilegieeskaltion til bot- og filstyring. Microsoft Teams Brugt til Indledende Adgang
Selvom det ikke er fuldt forstået, hvordan trusselaktøren i denne kampagne leverede de indledende Teams-beskeder til ofrene, har der været rapporter om, hvordan initial adgang kunne opnås ved hjælp af Teams siden Q2 2023. Dette førte til værktøjet "TeamsPhisher", der blev frigivet på Github, som operacionaliserer afsendelse af vedhæftninger til ofre på Teams på en større skala.
Værktøjet kombinerer ideer fra JUMPSEC's forskere, teknikker fra Andrea Santese og autentificeringsfunktioner fra Bastian Kanbach's "TeamsEnum" værktøj. Værktøjet verificerer målbrugernes evne til at modtage eksterne beskeder, opretter derefter en ny tråd og sender offeret en besked med et SharePoint-vedhæftningslink.
TeamsPhisher kræver en Microsoft Business-konto med gyldige Teams- og SharePoint-licenser og tilbyder funktioner som forhåndsvisningstilstand, sikre fillinks, specifikation af forsinkelse og logning. Det er derfor sandsynligt, at trusselaktøren bag den igangværende DARKGATE-kampagne bruger et lignende værktøj som TeamsPhisher til at lette den indledende adgang.
Hvad siger Microsoft?
Microsoft har også rapporteret, at en trusselaktør, sporet af Microsoft som "Storm-0324", er begyndt at bruge Teams-baseret phishing som deres indledende adgangsvektor og skiftet fra traditionel e-mail phishing. De er blevet observeret med at bruge TeamsPhisher-værktøjet til at levere phishing-vedhæftninger til ofre, hvilket i sidste ende førte til JSSLOADER og yderligere værktøjer efter kompromittering.
Desuden rapporterede Microsoft i august 2023, at "Midnight Blizzard", også kendt som APT29, udvidede deres social ingeniørkunstteknikker ved at sende ofre en Teams-beskedsanmodning, der udgiver sig for at være teknisk support eller organisationens sikkerhedsteam. Hvis den accepteres, kan dette føre til forsøg på at stjæle multi-faktor autentificerings (MFA) token fra offeret og give adgang til kontoen.
Teams-relateret phishing har set en stigning i de seneste måneder, med DARKGATE-kampagnen som den seneste i vellykket social ingeniørkunst, som Kroll har observeret. Men dette er ikke kun begrænset til DARKGATE; snarere har fremkomsten af offentligt tilgængelige værktøjer gjort denne vektor bredt tilgængelig for enhver trusselaktør, der i øjeblikket bruger eller planlægger at bruge social ingeniørkunst som en indledende adgangsvektor mod en organisation. Vigtige Anbefalinger
For organisationer, der bruger Microsoft Teams, anbefales det at vurdere forretningsbehovet for eksterne lejere for at have tilladelse til at sende beskeder ind til din organisation på Teams. Denne adgang kan fjernes fuldstændigt fra Microsoft Teams Admin Center.
Hvis ekstern adgang er påkrævet, anbefales det at gennemgå Teams sikkerhedsindstillinger for kun at tillade kommunikation fra domæner på en tilladelsesliste.
Giv medarbejderne sikkerhedsbevidsthedstræning om de potentielle risici ved at åbne filer eller interagere med ukendte afsendere via Microsoft Teams.
Comments