Вредоносные спам-кампании с участием DarkGate Loader участились после того, как в июне 2023 года автор программы начал рекламировать ее на популярных киберпреступных форумах как вредоносное ПО как услугу. До сих пор DarkGate Loader доставлялся с помощью традиционных почтовых спам-кампаний, аналогичных Emotet. В августе оператор начал использовать Microsoft Teams для доставки вредоносной программы через чат-сообщения, посвященные социальной инженерии в сфере HR.
В последнюю неделю августа специалисты группы реагирования на инциденты кибербезопасности (CSIRT) компании Truesec провели расследование кампании по распространению вредоносного ПО для Microsoft Teams, идентифицированного как DarkGate Loader.
29 августа в период с 11:25 до 12:25 UTC с двух внешних учетных записей Office 365, скомпрометированных до начала кампании, были отправлены сообщения в чате Microsoft Teams. Содержание сообщений было направлено на то, чтобы с помощью социальной инженерии заставить получателей загрузить и открыть вредоносный файл, размещенный на удаленном хостинге.
Indicators of Compromise
URLs
- http://5.188.87.58:2351
- http://5.188.87.58:2351/msiwbzadczl
- http://5.188.87.58:2351/wbzadczl
- https://burapha-my.sharepoint.com/:u:/g/personal/63090101_my_buu_ac_th/EWkB0l3nR4dCjDmwAe7jb7kBWPPkDObt8wVbmB1O6UztmA
- https://unadvirtualedu-my.sharepoint.com/personal/adriverar_unadvirtual_edu_co/Documents/Microsoft%20Teams%20Chat%20Files/Changes%20to%20the%20vacation%20schedule.zip
Emails
- 63090101@my.buu.ac.th
- adriverar@unadvirtual.edu.co
SHA256
- 0c59f568da43731e3212b6461978e960644be386212cc448a715dbf3f489d758
- 1bcde4d4613f046b63e970aa10ea2662d8aa7d326857128b59cb88484cce9a2d
- 4c21711de81bb5584d35e744394eed2f36fef0d93474dfc5685665a9e159eef1
- bcd449470626f4f34a15be00812f850c5e032723e35776fb4b9be6c7be6c8913