حملة تصيد جديدة تستهدف

مايكروسوفت تحذر من حملة تصيد جديدة تستهدف الشركات عبر رسائل Teams.

مايكروسوفت تحذر من حملة تصيد جديدة تستهدف الشركات عبر رسائل Teams. حذر Microsoft من حملة phishing جديدة تقوم بها وسيط وصول أولي تتضمن استخدام رسائل Teams كطعم لل infiltrated الشبكات corporativa.

تتبع فريق Threat Intelligence التابع لشركة التكنولوجيا العملاقة المجموعة تحت اسم Storm-0324. والذي يُعرف أيضًا باسم TA543 و Sagrid.

“بدءًا من يوليو 2023. لوحظ أن Storm-0324 distributes توزيع payloads باستخدام أداة مفتوحة المصدر لإرسال decoys phishing عبر م chats Microsoft Teams.” قالت الشركة ، مضيفة أن هذا التطور يمثل a shift من استخدام ناقلات العدوى الأولية القائمة على البريد الإلكتروني للوصول الأولي.

تعمل Storm-0324 في cybercriminal الاقتصاد كموزع payload ، offering offering خدمة تسمح ب propagation انتشار various payloads باستخدام سلاسل العدوى evasive. يتضمن هذا مزيجًا من downloaders. و trojans المصرفية. و ransomware ، و modular toolkits مثل Nymaim ، و Gozi ، و TrickBot ، و IcedID ، و Gootkit ، و Dridex ، و Sage ، و GandCrab ، و JSSLoader.

decoys رسائل البريد الإلكتروني.

تم تنفيذ sequences هجومية من قبل الممثل في الماضي باستخدام decoys رسائل البريد الإلكتروني ذات الموضوعات invoice- و payment- لخداع المستخدمين لتنزيل ملفات أرشيفات ZIP المستضافة على SharePoint والتي توزع JSSLoader. وهو برنامج loader malware قادر على profiling أجهزة infected و loading تحميل payloads إضافية.

“سلاسل البريد الإلكتروني الخاصة بال actor هي highly evasive. مما يجعل use من أنظمة توزيع traffic (TDS) مثل BlackTDS و Keitaro. والتي توفر identification و filtering capabilities لتكييف traffic حركة مرور المستخدمين.” قال Microsoft.

sandboxes malware.

“تسمح هذه capability filtering للمهاجمين بالتهرب من detection الكشف عن طريق IP ranges نطاقات IP معينة التي قد تكون حلول أمان. مثل sandboxes malware. مع إعادة توجيه الضحايا بنجاح إلى موقع الdownload malicious الخاص بهم.”

يفتح access الذي يتيحه malware الطريق أمام actor ال ransomware-as-a-service (RaaS) Sangria Tempest (المعروف أيضًا باسم Carbon Spider و ELBRUS و FIN7) لتنفيذ actions الإجراءات ما بعد الاستغلال و deploy نشر malware م encrypting الملفات.

تم تجديد modus operandi منذ ذلك الحين في يوليو 2023 حيث يتم إرسال decoys phishing عبر Teams مع روابط خبيثة تؤدي إلى ملف ZIP خبيث hosted مستضاف على SharePoint.

أداة leveraging.

يتم تحقيق ذلك من خلال leveraging أداة مفتوحة المصدر تسمى TeamsPhisher. والتي تمكن tenant المستخدمين في Teams من attach إرفاق ملفات إلى الرسائل المرسلة إلى tenants الخارجية من خلال exploiting issue التي تم تسليط الضوء عليها لأول مرة بواسطة JUMPSEC في يونيو 2023.

من الجدير بالذكر أن تقنية مماثلة تم تبنيها من قبل actor nation-state الروسي APT29 (المعروف أيضًا باسم Midnight Blizzard) في هجمات تستهدف حوالي 40 منظمة في جميع أنحاء العالم في مايو 2023.

قالت الشركة إنها قامت بإجراء several تحسينات أمنية ل block منع التهديد وقالت إنها “suspended أوقفت الحسابات tenants المحددة والمع tenants المرتبطة بسلوك غير م authentic أو احتيالي.”

“لأن Storm-0324 يسلم access الوصول إلى threat actors آخرين. فإن identifying و remediating نشاط Storm-0324 يمكن أن ي prevent منع هجمات follow-on أكثر خطورة مثل ransomware.” أشارت Microsoft further.

تأتي هذه الإفصاح في الوقت الذي قامت فيه Kaspersky ب detailing تفاصيل ال tactics. والتقنيات. والإجراءات الخاصة بمجموعة ransomware سيئة السمعة المعروفة باسم Cuba (المعروفة أيضًا باسم COLDDRAW و Tropical Scorpius) . إلى جانب identifying تحديد alias جديد يُدعى “V Is Vendetta” يُشتبه في أنه تم استخدامه بواسطة sub-group أو affiliate.

خطط  business model.

تستخدم المجموعة. مثل خطط RaaS .business model نموذج الأعمال مزدوج الانتقام لمهاجمة العديد من الشركات حول العالم و generating توليد الأرباح غير المشروعة.

تتضمن مسارات Ingress الاستغلال ProxyLogon. و ProxyShell.  ZeroLogon. security flaws الثغرات الأمنية في برنامج Veeam Backup & Replication software لنشر Cobalt Strike و backdoor مخصص يُدعى BUGHATCH. والذي يتم استخدامه بعد ذلك لتسليم updated الإصدارات المحدثة من BURNTCIGAR من أجل terminate إنهاء برنامج الأمان running الذي يعمل على host المضيف.

“تستخدم عصابة cybercrime الكوبية arsenal ترسانة واسعة من الأدوات المتاحة للجمهور والمخصصة. والتي تبقيها محدثة. وتقنيات وأساليب مختلفة بما في ذلك تقنيات خطيرة إلى حد ما، مثل BYOVD (إحضار جهازك الخاص وتوصيله).”

وبإضافة هذه المعلومات. يمكننا أن نرى أن عصابة Cuba cybercrime هي مجموعة من المحترفين المتمرسين الذين يستخدمون مجموعة متنوعة من الأساليب والأدوات لتجنب الكشف عنهم وإلحاق الضرر بضحاياهم.

فيما يلي بعض التفاصيل الإضافية:

  • يمكن أن تتضمن رسائل التصيد الاحتيالي من Storm-0324 نصًا يشير إلى أن الرسالة تأتي من موظف أو مدير في الشركة.
  • يمكن أن تتضمن الروابط الخبيثة في رسائل التصيد الاحتيالي صورة أو ملفًا يبدو أنه ملف مشروع، مثل ملف Excel أو PDF.
  • يمكن أن تساعد الأدوات الأمنية، مثل برامج مكافحة الفيروسات والبرامج المضادة للتصيد الاحتيالي، في حماية المستخدمين من هجمات التصيد الاحتيالي.
  • يمكن للمستخدمين اتخاذ خطوات للحماية من التصيد الاحتيالي. مثل توخي الحذر عند فتح رسائل البريد الإلكتروني من جهات مجهولة وعدم النقر على روابط أو تنزيل ملفات من مصادر غير معروفة.

مايكروسوفت تحذر من حملة تصيد جديدة تستهدف الشركات عبر رسائل Teams. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.