Tým Bitdefender MDR pozoroval aktivitu spojenou s kampaní sociálního inženýrství, která se zaměřuje na běžně používaný software: Microsoft Teams a Quick Assist. Tento článek obsahuje informace z nejnovější analýzy týmu MDR. Bitdefender jej uvolňuje veřejnosti, aby podpořil úsilí o sdílení informací.
Hrozby, které zneužívají Microsoft Teams a Quick Assist, přetrvávají déle než tři měsíce. V těchto případech však úspěšná infiltrace do prostředí oběti není výsledkem spuštění škodlivého kódu nebo hrubého vynucení zařízení s přístupem na úrovni správce. Místo toho musí aktér hrozby pouze manipulovat s důvěrou uživatele, aby převzal kontrolu nad systémem oběti a připravil půdu pro další kompromis.
Níže uvedený obrázek zachycuje základní části kampaní sociálního inženýrství, se kterými se tým Bitdefender MDR setkal a které využívají Microsoft Teams a Quick Assist.
Strategie sociálního inženýrství
Aktéři hrozeb v posledních měsících používali k provádění sociálního inženýrství e-mailové účty i účty Microsoft Teams pod přezdívkami jako „IT Support“. Tyto účty jsou odvozeny dvěma způsoby. V některých případech je účet „IT Support“ již přítomen v cílovém prostředí, takže tento účet je cíli známý. Útočník však získá účet po prodeji nebo úniku přihlašovacích údajů společnosti. V jiných případech vytváří aktér hrozby nové účty, které jsou odlišné a oddělené od cílového prostředí.
Jak probíhá sociální inženýrství? Aktér ohrožení komunikuje s uživatelem, často prostřednictvím přímých chatů Teams nebo prostřednictvím Teams call, a přesvědčuje je, aby se obrátili na technickou podporu a vyřešili jakékoli technické problémy. I když se tento přístup může zdát neobvyklý a dokonce neohrabaný, stojí za zmínku, že před výměnou mohou být cíle vystaveny záplavě spamových zpráv. Není tedy nerozumné, aby se cíle domnívaly, že bezpečnostní prvek byl po aktualizaci změněn nebo že jejich e-mailová služba má například nějakou poruchu, kterou je třeba opravit.
Koncový uživatel odešle zprávu Teams zpět „IT podpoře“ o vyřešení technického problému. Útočník v přestrojení za zástupce IT radí uživateli, aby se připojil přes Quick Assist. Útočník se může také pokusit oslovit koncového uživatele několikrát, pokud je v procesu klid. Quick Assist je program podepsaný a vlastněný společností Microsoft. Je navržen tak, aby podporoval správce systému při vzdálené správě činností při odstraňování problémů. Poté, co koncový uživatel spustí Quick Assist, „IT Support“ požádá uživatele o poskytnutí bezpečnostního kódu Quick Assist. Jakmile „IT Support“ obdrží bezpečnostní kód prostřednictvím chatu v Teams nebo telefonicky, aktér hrozby dosáhl svého prvního cíle: úspěšně vytvořit počáteční přístup. Poté může aktér hrozby pokračovat aplikací změn systému, načtením škodlivých dat a získáním přihlašovacích údajů a dalších dat.
Použitá taktika: Počáteční přístup a vytrvalost
Následující část poskytuje další informace o taktice používané k provedení přípravných fází útočného cyklu.
Počáteční přístup
Aktéři hrozeb používají Microsoft Teams a Quick Assist ke komunikaci s koncovými uživateli a poté k vytvoření přístupu k jejich systémům. Pokud koncový uživatel již má ve svém prostředí Quick Assist, útočník pokračuje tím, že požádá uživatele, aby jej spustil, a poskytne bezpečnostní kód pro vytvoření vzdáleného přístupu. Pokud koncový uživatel ještě Quick Assist nepoužívá, bude vyzván k jeho stažení.
Koncový uživatel se může rozhodnout stáhnout Quick Assist z obchodu Microsoft Store. V tomto scénáři aplikace pochází z důvěryhodného zdroje. V důsledku toho nemá žádné známky toho, že se jedná o škodlivý program. Tým MDR společnosti Bitdefender to zaznamenal při kontrole instancí, které zahrnovaly nedávnou instalaci ověřeného softwaru Quick Assist. V těchto případech měl Quick Assist.exe následující hodnotu hash:
Instalace Quick Assist.exe, ke kterým došlo po stažení z Microsoft Store, byly spojeny s následující cestou k souboru:
C:\Program
Files\WindowsApps\MicrosoftCorporationII.QuickAssist_2.0.32.0_x64_8wekyb3d8bb
we\Microsoft.RemoteAssistance.QuickAssist\QuickAssist.exe
Tým Bitdefender MDR také zaznamenal případ, kdy útočník nařídil koncovému uživateli stáhnout Quick Assist Intaller.exe pomocí poskytnutého odkazu. Tento program Quick Assist Installer.exe měl následující hodnotu hash:
Odkazy, které útočníci zaslali obětem, včetně odkazu na stažení instalačního programu Quick Assist a dalších souborů, pravděpodobně pocházejí z napadeného webu SharePoint. Adresa URL služby SharePoint, která je přidružena k útočníkovi, je:
hxxps://pdve-my.sharepoint.com/personal/ruteh_pdve_org/Documents/Apps/RuleFix.zip?ct=1727213144159&or=Teams-HL&ga=1&LOF=1
Níže uvedené podezřelé adresy URL jsou spojeny s několika pokusy o phishing. I když obsahují překlepy a vynechaná písmena, adresy URL vypadají jako běžné, legitimní služby, včetně portálu pro správu společnosti Microsoft a Gmailu.
hxxps://admin.mocrsoft.com/
hxxps://gmai.com/
Perzistence
Aktér hrozby zřídí přístup k počítači oběti. Poté dosáhnou vytrvalosti, aby vytvořily oporu nezbytnou k pozdějšímu postupu v útoku. Útočník spouští skripty v příkazovém řádku, aby nastavil trvalost, což má za následek stažení souboru a/nebo vytvoření naplánované úlohy.
Následující příklady ilustrují provádění skriptů v příkazovém řádku, které stahují soubory .JAR:
cmd.exe /c start /b C:\Users\Public\Documents\Protocol-Route-Manager\jdk-23.0.1\bin\javaw.exe -jar C:\Users\Public\Documents\Protocol-Route-Manager \Protocol-Route-Manager.jar
cmd.exe /c start /b C:\Users\Public\Documents\RuleFix\jdk-23_windows-x64_bin\jdk-23\bin\javaw.exe -jar C:\Users\Public\Documents\RuleFix\RuleFix.jar
Druhý výše uvedený příkaz obsahuje odkaz na soubor JAR; tato vývojová aplikace Java je škodlivá a má následující hodnotu hash:
295c950c8a7c22060ebf2d2013da7009dbead28d0589ca03c93c78811e31d37c.
Další analýza tohoto souboru byla omezená; archivní soubory .JAR nebo Java však lze použít k vložení dalších datových částí, které mohou interagovat s mnohem více platformami ve srovnání s přenosnými spustitelnými soubory vzhledem k jejich kompatibilitě s prostředky Java. Aktéři hrozeb používají JDK, Java Development Kit, ke spuštění a úpravě příslušných souborů z JAR.
Tým MDR také objevil naplánovanou úlohu po stažení souboru identity.jar:
„C:\Users\Public\Documents\Protocol-Route-Manager\identity.jar“
Posuzování a připisování hrozeb
Bylo zkoumáno několik kampaní sociálního inženýrství, které využívaly Microsoft Teams a Quick Assist. S pomocí týmu Bitdefender MDR byly incidenty detekovány na začátku cyklu útoku po aktivitě stahování a zprávách zákazníků o neobvyklé korespondenci Teams. Navzdory běžné mylné představě, že útočníci podniknou okamžitou akci po počátečním přístupu, často dochází ke zpoždění, než tento přístup eskaluje k narušení dostupnosti nebo integrity. Tato „doba setrvání“ poskytuje zkušeným týmům SOC/MDR příležitost zabránit další eskalaci neoprávněného přístupu v řetězci útoků až ke ztrátě dat nebo dokonce přerušení služeb. Zatímco důkazy, které by připisovaly incidenty jednomu konkrétnímu aktérovi hrozby, jsou omezené, existuje podezření, že za těmito incidenty stojí skupina ransomwaru nebo syndikát kyberzločinu na základě struktury útoku, rozsahu a potenciální doby setrvání.
Tým MDR nepozoroval použití ransomwaru v kampaních sociálního inženýrství. Události zachycené ve fázích Počátečního přístupu a Přetrvávání však představují kroky, které aktéři ohrožení obvykle dokončí, aby se usadili v prostředí oběti. Tyto kroky předcházejí fázím, které tvoří širší, vícefázové kampaně, jejichž provedení může trvat týdny nebo měsíce, včetně incidentů ransomwaru. Proto aktivity ransomwaru, jako je šifrování dat, exfiltrace dat a úniky dat, mají potenciální důsledky, které by mohly mít dopad na organizaci, která není schopna detekovat hrozbu nebo identifikovat instanci neoprávněného přístupu.
Skupiny hrozeb nasazující podobné kampaně
Black Basta je skupina Ransomware-as-a-Service (RaaS), která již několik měsíců využívá Microsoft Teams a Quick Assist ve svých kampaních sociálního inženýrství. Poté, co aktér hrozby získá přístup k počítači oběti, může na postižených hostitelích spustit škodlivý software, včetně nástrojů RMM a ransomwaru. Black Basta také vymyslel způsoby, jak začlenit QR kódy do svých phishingových operací<, které využívají MS Teams.
VEILDrive je skupina hrozeb, která využila zranitelnosti a do svých útoků implementovala nejen Microsoft Teams a Quick Assist, ale také OneDrive a SharePoint. Jejich použití komponent Java k vývoji užitečného zatížení a OneDrive k zapojení do činností Command-and-Control bylo hlášeno z několika prodejen.
Akce MDR, aktualizace podpisu
Trojan.Agent.GMUC a Java.Trojan.Agent.SH jsou dva viry spojené se souborem .JAR, které byly přítomny v kampaních sociálního inženýrství. Bitdefender MDR má nejnovější detekční signatury pro tyto viry. Zákazníkům se doporučuje zkontrolovat nastavení aktualizace MDR, aby se ujistili, že jejich řešení je aktuální a používá nejnovější signatury.
Doporučení
Zatímco MDR dokáže identifikovat škodlivé aktivity, ke kterým dojde poté, co útočník převezme kontrolu nad systémem pomocí Quick Assist, např. detekce spuštění škodlivého downloaderu nebo pokusů o úpravu klíčů registru, je nejlepší snížit pravděpodobnost, že útočník přistoupí k vašemu prostředí.
Doporučuje se, aby organizace zavedly následující bezpečnostní postupy, aby se ochránily před phishingovými kampaněmi a narušením bezpečnosti:
- Omezení oprávnění pro externí uživatele v Microsoft Teams: V centru pro správu Teams nakonfigurujte „Externí přístup“ tak, aby umožňoval komunikaci s konkrétními doménami, nebo jej úplně vypněte, pokud to není nutné pro obchodní použití.
- Povolit monitorování MDR všech systémů
- Informujte svou službu Bitdefender MDR o přijatých aplikacích RMM: To může pomoci MDR prošetřit případy podezřelé aktivity. Zákazníci MDR mohou identifikovat povolené aplikace prostřednictvím portálu MDR spolu s předem schválenými akcemi nebo jinými speciálními pokyny.
- Povolit vícefaktorové ověřování (MFA): Vynucení MFA pro všechny služby Microsoftu včetně Teams, aby se snížila pravděpodobnost neoprávněného přístupu.
- Používejte spamové filtry: Implementujte spamové filtry v e-mailových systémech, abyste automaticky odfiltrovali známé phishingové e-maily a škodlivý obsah a minimalizovali falešné poplachy. Uživatelé Microsoft Office 365 mohou mít další možnosti s nativními nástroji zabezpečení Outlooku v závislosti na licencování.
- Monitorujte a protokolujte aktivitu vzdáleného přístupu: Implementujte vylepšené monitorování pro sledování požadavků na vzdálený přístup a identifikaci neobvyklých vzorců aktivit.
- Vytvořte program pro zvyšování povědomí o bezpečnosti a školicí program s cílem informovat zaměstnance o kybernetické hygieně a způsobech, jak mohou účinně hlásit hrozby a minimalizovat pravděpodobnost události, jako je narušení nebo kompromitace.
Rádi bychom poděkovali Bitdefenders Joshua Armstrong a Sean Nikkel za jejich pomoc při přípravě tohoto vydání.
Pro více informací nás neváhejte kontaktovat.
