Komunikat o bezpieczeństwie: Przeciwnicy nadużywają Microsoft Teams i Quick Assist
Piotr R
21 listopada 2024
Zespół Bitdefender MDR zaobserwował aktywność związaną z kampanią socjotechniczną, która ma na celu powszechnie używane oprogramowanie: Microsoft Teams i Quick Assist. Ten blog zawiera informacje z najnowszej analizy zespołu MDR. Bitdefender udostępnia ją publicznie, aby wesprzeć działania związane z udostępnianiem informacji.
Zagrożenia, które nadużywają Microsoft Teams i Quick Assist, utrzymują się od ponad trzech miesięcy. Jednak w tych przypadkach udana infiltracja środowiska ofiary nie jest wynikiem wykonania złośliwego kodu lub brutalnego ataku na urządzenie z dostępem na poziomie administratora. Zamiast tego aktor zagrożenia musi jedynie manipulować zaufaniem użytkownika, aby przejąć kontrolę nad systemem ofiary i przygotować grunt pod kolejne naruszenie.
Poniższy wykres przedstawia istotne elementy kampanii socjotechnicznych, z którymi zetknął się zespół MDR firmy Bitdefender, wykorzystujących Microsoft Teams i Quick Assist.
Strategia inżynierii społecznej
Cyberprzestępcyw ostatnich miesiącach używali zarówno kont e-mail, jak i kont Microsoft Teams pod pseudonimami takimi jak „IT Support”, aby przeprowadzać socjotechnikę. Konta te są uzyskiwane na dwa sposoby. W niektórych przypadkach konto „IT Support” jest już obecne w środowisku docelowym, więc jest znane celowi. Jednak atakujący przejmuje konto po sprzedaży lub wycieku danych uwierzytelniających firmy. W innych przypadkach cyberprzestępca tworzy nowe konta, które są odrębne i oddzielone od środowiska docelowego.
Jak przeprowadzana jest inżynieria społeczna?
Cyberprzestępca komunikuje się z użytkownikiem, często za pośrednictwem bezpośrednich czatów Teams, przekonując go do skontaktowania się z działem pomocy technicznej w celu rozwiązania wszelkich problemów technicznych. Chociaż takie podejście może wydawać się nietypowe, a nawet prymitywne, warto zauważyć, że przed wymianą cele mogą być narażone na zalew wiadomości spamowych. Dlatego nie jest nierozsądne, aby cele zakładały, że funkcja bezpieczeństwa została zmieniona po aktualizacji lub na przykład ich usługa poczty e-mail ma jakąś awarię, którą należy naprawić.
Użytkownik końcowy wysyła komunikat Teams z powrotem do „Wsparcia IT” w sprawie rozwiązania problemu technicznego. Atakujący, podszywający się za przedstawiciela IT, radzi użytkownikowi połączyć się przez Quick Assist. Atakujący może również próbować skontaktować się z użytkownikiem końcowym kilka razy, jeśli w procesie wystąpi przerwa. Quick Assist to program podpisany i będący własnością firmy Microsoft. Jest on przeznaczony do wspierania administratorów systemów w zarządzaniu działaniami związanymi z rozwiązywaniem problemów zdalnie. Po uruchomieniu Quick Assist przez użytkownika końcowego, „Wsparcie IT” prosi użytkownika o podanie kodu bezpieczeństwa Quick Assist. Po otrzymaniu kodu bezpieczeństwa przez „Wsparcie IT” na czacie Teams lub przez telefon, sprawca zagrożenia osiągnął swój pierwszy cel: pomyślne ustanowienie początkowego dostępu. Następnie sprawca zagrożenia może kontynuować, stosując zmiany w systemie, ładując złośliwe ładunki i uzyskując poświadczenia oraz inne dane.
Zastosowane taktyki: dostęp początkowy i wytrwałość
Poniższa sekcja zawiera dalsze informacje na temat taktyk stosowanych w celu przeprowadzenia wstępnych faz cyklu ataku.
Dostęp początkowy
Cyberprzestępcy używają Microsoft Teams i Quick Assist do komunikowania się z użytkownikami końcowymi, a następnie nawiązywania dostępu do ich systemów. Jeśli użytkownik końcowy ma już Quick Assist w swoim środowisku, atakujący kontynuuje, prosząc użytkownika o jego uruchomienie i podanie kodu bezpieczeństwa w celu nawiązania zdalnego dostępu. Jeśli użytkownik końcowy nie używa jeszcze Quick Assist, zostanie poproszony o jego pobranie.
Użytkownik końcowy może wybrać pobranie Quick Assist ze sklepu Microsoft Store. W takim scenariuszu aplikacja pochodzi z zaufanego źródła. W rezultacie nie ma żadnych oznak, że jest to program złośliwy. Zespół MDR Bitdefender zauważył to podczas przeglądania przypadków, w których niedawno zainstalowano zweryfikowane oprogramowanie Quick Assist. W tych przypadkach Quick Assist.exe miał następującą wartość skrótu:
Zespół MDR Bitdefendera zaobserwował również przypadek, w którym atakujący nakazał użytkownikowi końcowemu pobranie Quick Assist Intaller.exe za pomocą podanego łącza. Ten program Quick Assist Intaller.exe miał następującą wartość skrótu:
Linki, które atakujący wysłali ofiarom, w tym link do pobrania instalatora Quick Assist i innych plików, prawdopodobnie pochodziły z zainfekowanej witryny SharePoint. Adres URL SharePoint, który jest powiązany z atakującym, to:
Podejrzane adresy URL podane poniżej są powiązane z wieloma próbami phishingu. Chociaż zawierają błędy ortograficzne i pominięcia liter, adresy URL wyglądają jak typowe, legalne usługi, w tym portal administracyjny Microsoftu i Gmail.
„hxxps://admin.mocrsoft.com/ „
„hxxps://gmai.com/„
Trwałość
Cyberprzestępca uzyskuje dostęp do komputera ofiary. Następnie osiąga trwałość, aby stworzyć punkt zaczepienia niezbędny do przeprowadzenia ataku. Atakujący uruchamia skrypty w wierszu poleceń, aby ustanowić trwałość, co skutkuje pobraniem pliku i/lub utworzeniem zaplanowanego zadania.
Poniższe przykłady ilustrują wykonanie skryptów w wierszu poleceń, które pobierają pliki .JAR:
Dalsza analiza tego pliku była ograniczona, jednak pliki archiwum JAR lub Java mogą być używane do osadzania dodatkowych ładunków, które mogą wchodzić w interakcje z o wiele większą liczbą platform w porównaniu do przenośnych plików wykonywalnych, biorąc pod uwagę ich zgodność z zasobami Java. Cyberprzestępcy używają JDK, Java Development Kit, do wykonywania i modyfikowania odpowiednich plików z JAR.
Zespół MDR odkrył również zaplanowane zadanie po pobraniu pliku o nazwie identity.jar:
Dzięki pomocy zespołu Bitdefender MDR incydenty zostały wykryte na wczesnym etapie cyklu ataku po aktywności pobierania i zgłoszeniach od klientów dotyczących nietypowej korespondencji Teams. Pomimo powszechnego błędnego przekonania, że atakujący podejmują natychmiastowe działania po pierwszym dostępie, często występuje opóźnienie, zanim dostęp ten eskaluje do naruszenia dostępności lub integralności. Ten „czas oczekiwania” daje doświadczonym zespołom SOC/MDR możliwość zapobiegania eskalacji nieautoryzowanego dostępu w łańcuchu ataku do utraty danych lub nawet zakłóceń w świadczeniu usług. Chociaż dowody na przypisanie incydentów jednemu konkretnemu podmiotowi zagrożenia są ograniczone, podejrzewa się, że za tymi incydentami stoi grupa ransomware lub syndykat cyberprzestępczości, biorąc pod uwagę strukturę ataku, skalę i potencjalny czas oczekiwania.
Zespół MDR nie zaobserwował użycia ransomware w kampaniach socjotechnicznych. Jednak zdarzenia zarejestrowane w fazach dostępu początkowego i trwałości stanowią kroki, które aktorzy zagrożeń zazwyczaj wykonują, aby uzyskać przyczółek w środowisku ofiary. Kroki te poprzedzają fazy, które składają się na szersze, wieloetapowe kampanie, których wykonanie może zająć tygodnie lub miesiące, w tym incydenty ransomware. Dlatego działania ransomware, takie jak szyfrowanie danych, eksfiltracja danych i wycieki danych, mają potencjalne konsekwencje, które mogą mieć wpływ na organizację, która nie jest w stanie wykryć zagrożenia lub zidentyfikować przypadku nieautoryzowanego dostępu.
Grupy zagrożeń wdrażające podobne kampanie
Black Basta to grupa Ransomware-as-a-Service (RaaS), która od kilku miesięcy używa Microsoft Teams i Quick Assist w swoich kampaniach socjotechnicznych. Po uzyskaniu dostępu do komputera ofiary, atakujący może uruchomić złośliwe oprogramowanie, w tym narzędzia RMM i ransomware na zainfekowanych hostach. Black Basta opracowała również sposoby włączania kodów QR do swoich operacji phishingowych, które wykorzystują MS Teams.
VEILDrive to grupa zagrożeń, która wykorzystała luki i wdrożyła nie tylko Microsoft Teams i Quick Assist w swoich atakach, ale także OneDrive i SharePoint. Ich wykorzystanie komponentów Java do opracowywania ładunków i OneDrive do angażowania się w działania Command-and-Control zostało zgłoszone przez kilka źródeł.
Działania MDR, aktualizacje podpisów
Trojan.Agent.GMUC i Java.Trojan.Agent.SH to dwa wirusy powiązane z plikiem .JAR, które były obecne w kampaniach socjotechnicznych. Bitdefender MDR ma najnowsze sygnatury wykrywania tych wirusów. Klientom zaleca się sprawdzenie ustawień aktualizacji MDR, aby upewnić się, że ich rozwiązanie jest aktualne i korzysta z najnowszych sygnatur.
Zalecenia zespołu Bitdefender
Podczas gdy MDR może identyfikować złośliwe działania, które mają miejsce po przejęciu kontroli nad systemem przez atakującego za pomocą Quick Assist, np. wykrywając wykonanie złośliwego programu pobierającego lub próby modyfikacji kluczy rejestru, najlepiej jest zmniejszyć prawdopodobieństwo, że atakujący uzyska dostęp do Twojego środowiska. Zaleca się, aby organizacje wdrożyły następujące praktyki bezpieczeństwa w celu ochrony przed kampaniami phishingowymi i naruszeniami bezpieczeństwa:
Ogranicz uprawnienia użytkowników zewnętrznych w aplikacji Microsoft Teams: W Centrum administracyjnym aplikacji Teams skonfiguruj „Dostęp zewnętrzny”, aby zezwolić na komunikację z określonymi domenami, lub całkowicie go wyłącz, jeśli nie jest potrzebny do użytku biznesowego.
Włącz monitorowanie MDR wszystkich systemów.
Poinformuj swoją usługę Bitdefender MDR o zaakceptowanych aplikacjach RMM: Może to pomóc MDR zbadać przypadki podejrzanej aktywności. Klienci MDR mogą identyfikować dozwolone aplikacje za pośrednictwem portalu MDR, wraz ze wstępnie zatwierdzonymi działaniami lub innymi specjalnymi instrukcjami.
Włącz uwierzytelnianie wieloskładnikowe (MFA): Wymuś uwierzytelnianie wieloskładnikowe we wszystkich usługach Microsoft, łącznie z Teams, aby zmniejszyć prawdopodobieństwo nieautoryzowanego dostępu.
Użyj filtrów spamu: Wdróż filtry spamu w systemach poczty e-mail, aby automatycznie filtrować znane wiadomości phishingowe i złośliwą zawartość oraz minimalizować fałszywe alarmy. Użytkownicy pakietu Microsoft Office 365 mogą mieć dodatkowe opcje z natywnymi narzędziami bezpieczeństwa programu Outlook, w zależności od licencji.
Monitorowanie i rejestrowanie aktywności zdalnego dostępu: Wdrożenie udoskonalonego monitoringu w celu śledzenia żądań zdalnego dostępu i identyfikowania nietypowych wzorców aktywności.
Utwórz program podnoszenia świadomości i szkoleń w zakresie bezpieczeństwa, aby poinformować personel o cyberhigienie i sposobach skutecznego zgłaszania zagrożeń, a także zminimalizować prawdopodobieństwo wystąpienia zdarzeń takich jak naruszenie bezpieczeństwa lub kompromitacja.
Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.