Microsoft alerta para campanha de phishing que usa mensagens do Teams

A Microsoft está a alertar para uma nova campanha de phishing, encetada por um corretor de acesso inicial, através da utilização de mensagens do Teams para infiltrar redes corporativas.

A equipa de Threat Intelligence da empresa está a rastrear o cluster sob o nome Storm-0324, também conhecido como TA543 e Sagrid. “A partir de julho de 2023, o Storm-0324 foi observado a distribuir cargas úteis ao utilizar uma ferramenta de código aberto para enviar mensagens de phishing através de conversas do Microsoft Teams”, afirma a empresa. A Microsoft considera que isto marca uma mudança no uso de vetores de infeção iniciais, assentes no uso de e-mails, para acesso inicial.

Através de cadeias de infeção evasivas, a campanha de phishing oferece um serviço que permite a propagação de diversas cargas úteis, funcionando como um distribuidor de payload, com a combinação de downloaders, trojans bancários, ransomware, assim como de kits de ferramentas modulares como Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab e JSSLoader.

No passado, o cibercriminoso realizava ataques ao empregar mensagens de e-mails falsas, sobre assuntos relacionados com fatura e pagamento, para levar os utilizadores a fazer download de arquivos ZIP hospedados no SharePoint. Deste modo, o atacante distribuía o JSSLoader, um loader de malware que consegue traçar os perfis de máquinas infetadas e carregar cargas adicionais.

“As cadeias de e-mail do ator são altamente evasivas, utilizando sistemas de distribuição de tráfego (TDS) como BlackTDS e Keitaro, que fornecem recursos de identificação e filtragem para personalizar o tráfego do utilizador”, explica a Microsoft. Acrescenta ainda que, com esta capacidade de filtragem, os cibercriminosos conseguem fugir à deteção “por determinados intervalos de IP que podem ser soluções de segurança, como sandboxes de malware”, redirecionando simultaneamente os alvos para os seus sites de download maliciosos.

Possibilitando o acesso, o malware abre caminho para o Sangria Tempest – também conhecido como Carbon Spider, ELBRUS e FIN7 –, um agente de ransomware como serviço (RaaS), realizar ações pós-exploração e implementar malware de criptografia de arquivos.

Desde julho, o cibercriminoso passou a operar de forma diferente: as mensagens de phishing são agora enviadas pelo Teams, contendo links maliciosos que levam a um arquivo ZIP malicioso hospedado no SharePoint. Através do TeamsPhisher, uma ferramenta de código aberto, os utilizadores do Teams podem anexar mensagens enviadas a utilizadores externos, explorando um problema reportado pela primeira vez pelo JUMPSEC em junho deste ano.

Em maio de 2023, o agente de ameaça russo APT29, designado também como Midnight Blizzard, utilizou uma técnica semelhante para encetar ciberataques contra cerca de 40 organizações por todo o mundo.

A Microsoft afirma ter feito melhorias ao nível da segurança para bloquear a ameaça, para além da suspensão de “contas e inquilinos identificados associados a comportamento inautêntico ou fraudulento”.

“Como o Storm-0324 dispensa o acesso a outros atores de ameaças, identificar e remediar a atividade do Storm-0324 pode evitar ataques subsequentes mais perigosos, como ransomware”, destaca a empresa.

Este ano tem sido marcado por um aumento significativo de ataques de ransomware. Tanto o Centro Nacional de Cibersegurança do Reino Unido (NCSC) como a Agência Nacional do Crime (NCA) indicam que estes ciberataques “dependem de uma cadeia de suprimentos complexa”.

“Focar nas origens específicas do ransomware pode ser confuso, na melhor das hipóteses, e inútil, na pior”, disseram as duas agências num relatório publicado no início desta semana. “A maioria dos incidentes de ransomware não se deve a técnicas de ataque sofisticadas; os acessos iniciais às vítimas são obtidos de forma oportunista, sendo o sucesso geralmente o resultado de uma má higiene cibernética”.

A divulgação da Microsoft vem no seguimento de uma análise da Kaspersky que detalha
as técnicas e procedimentos do grupo de ransomware Cuba, conhecido ainda como COLDDRAW e Tropical Scorpius, tendo identificado também o novo pseudónimo “V Is Vendetta” suspeito de ser usado por um subgrupo ou um afiliado.

O Cuba utiliza o modelo de negócio de dupla extorsão para atingir empresas numa escala mundial e ter lucros ilícitos. As rotas de entrada envolvem a exploração de ProxyLogon, ProxyShell, ZeroLogon e falhas de segurança no software Veeam Backup & Replication para implantar o Cobalt Strike e um backdoor personalizado denominado BUGHATCH, utilizado para fornecer versões atualizadas do BURNTCIGAR com o objetivo de encerrar o software de segurança em execução no host.

A Kaspersky explica que o grupo Cuba recorre a “um extenso arsenal de ferramentas disponíveis publicamente e personalizadas, que mantém atualizadas, e várias técnicas e métodos, incluindo alguns bastante perigosos, como o BYOVD”.