Sophos MDR обнаружила новый кластер угроз, созданный по сценарию Storm-1811, и эскалацию активности, связанной с вымогательским ПО Black Basta. Расследование этих двух отдельных кластеров активности началось в ответ на инциденты клиентов в ноябре и декабре 2024 года. Угрозы отслеживаются Sophos как STAC5143 и STAC5777. Оба злоумышленника использовали собственных арендаторов сервиса Microsoft Office 365 и эксплуатировали стандартную конфигурацию Microsoft Teams, позволяя внешним пользователям домена инициировать чаты или встречи с внутренними пользователями.
STAC5143 APT
STAC5777 пересекается с группой угроз, ранее идентифицированной Microsoft как Storm-1811, а STAC5143 представляет собой неизвестный кластер угроз, который эмулирует игровой процесс Storm-1811 с возможными связями с агентом угроз, известным под различными именами, такими как FIN7, Sangria Tempest или Carbon Spider.
Sophos MDR задокументировала более 15 инцидентов, связанных с этой тактикой, за последние три месяца, причем половина из них произошла в течение последних двух недель. Среди распространенных тактик - рассылка сообщений по электронной почте, отправка сообщений Teams и инициирование голосовых и видеозвонков, а также использование инструментов удаленного управления Microsoft, таких как Quick Assist или совместное использование экрана через Teams. Эта тактика направлена на получение контроля над компьютером цели и установку вредоносного ПО.
STAC5143 использует встроенные средства удаленного управления в Teams, Java-архивы и среду выполнения Java, которые автоматизируют эксплуатацию компьютеров жертв. JAR-файл извлекает бэкдоры на основе Python из .zip-файла, загруженного с удаленной ссылки SharePoint. STAC5777, напротив, использует Microsoft Quick Assist, изменяет конфигурацию клавиатуры, развертывает вредоносные DLL-библиотеки через побочную загрузку легитимных программ обновления Microsoft, использует RDP и удаленное управление Windows для доступа к сети, а в одном случае развернул вымогательскую программу Black Basta.
В отчете содержится подробное описание тактики, используемой обоими кластерами, включая рассылку сообщений по электронной почте, социальную инженерию, выдающую себя за техподдержку, использование легитимных сервисов Microsoft Office 365, а также попытки развертывания командно-контрольных инструментов и эксфильтрации данных. В Sophos считают, что оба кластера являются частью усилий по вымогательству выкупа и краже данных.
Хотя некоторые вредоносные программы из кластера STAC5143 похожи на атаки FIN7, наблюдаемые другими компаниями по кибербезопасности, в их целях и тактике есть определенные различия. FIN7 обычно фокусируется на фишинге, а в последнее время - на спонсорских объявлениях Google, содержащих вредоносное ПО. Эта цепочка атак была направлена на небольшие организации в других секторах, нежели обычные цели FIN7.
В отчете также описывается конкретный инцидент, связанный с большим количеством спам-сообщений и последующим видеозвонком от человека, выдававшего себя за менеджера службы поддержки. Злоумышленник просил сотрудника разрешить сеанс удаленного управления через Teams и через этот сеанс получал контроль над компьютером сотрудника.
Indicators of Compromise
IPv4
- 109.107.170.2
- 194.87.39.183
- 195.133.1.117
- 206.206.123.75
- 207.90.238.99
- 78.46.67.201
IPv4 Port Combinations
- 195.123.241.24:443
- 207.90.238.46:443
- 74.178.90.36:443
Emails
SHA256
- 3d0e55bd3c84e6cb35559ef1d0f2ef72a21e0f3793a9158d514f12f46b0aff85
- 42d09288a78363cac90759ddce814a420f22d174768c1e406bf2d8fed2c38ade
- 4b6a008c8b85803dc19a8286f33cad963425d37c4ca0b1a9454a854db3273dad
- 697d5213d69cdfbd943c6d395f907b8fe210bbfc9d78a9d41a046ba55bebb5ff
- 801525d7239e46f9c22d7e7bcd163abcfb29fc0770ff417f5fc62bfb005ec7ac
- 8abc8c92ebfe78f54e7488a467d1b6e90d28382067b49a954e31133691112eba
- a23560a3b9a9578dcd70bcd01434b2053940d6be36e543df8e4d36931ca9ea63
- ea2b3bf32cc27e959e19c365fa2f6e5310ef2e76d3d0ed2df3fb5945f9afc9e7
- f009ec775b2daa5a0f38dc2593a3c231611bea7cb579363915d9be1135b00455
