HackerNews

HackerNews
Microsoft Teams 上的虚假 IT 支持电话推送 EtherRAT 恶意软件

Microsoft Teams 上的虚假 IT 支持电话推送 EtherRAT 恶意软件

给文章评分:

威胁行为者正在滥用 Microsoft Teams 语音通话,冒充企业 IT 支持人员,诱骗员工安装 EtherRAT 恶意软件,从而让攻击者获得对企业网络的初始访问权限。
据 Palo Alto Networks 的 Unit 42 报告,该活动结合了钓鱼邮件、Microsoft Teams 语音通话、合法的远程管理工具以及一个基于 Node.js 的恶意软件加载器,以入侵受害者的计算机。
根据 Unit 42 在 GitHub 上发布的报告,攻击始于一封包含"员工调查"诱饵和恶意 PDF 附件的钓鱼邮件。
打开文档后不久,受害者会收到一个来自冒充"系统管理员"的外部账户的 Microsoft Teams 语音通话。
研究人员观察到 Teams 会话显示"外部陌生"标签,表明呼叫者属于与收件人不同的 Microsoft 365 租户。审计日志显示,攻击者使用账户 helpdesk@Progressive936.onmicrosoft[.]com 发起外部聊天,并伪装成 IT 支持人员。
在说服受害者通过 Microsoft Teams 内置的屏幕共享功能授予远程控制权后,攻击者引导他们安装合法的远程访问工具,包括 HopToDesk 和 AnyDesk。
建立远程访问后,攻击者从 camorreado[.]click 下载并执行了一个恶意的 MSI 安装程序 (v7.msi)。该 MSI 充当恶意软件加载器,下载合法的 Node.js 运行时,解密嵌入的载荷,并最终启动 EtherRAT。
EtherRAT 是一个用 Node.js 编写的跨平台远程访问木马,使攻击者能够完全控制受感染的系统。
该恶意软件可以执行命令、操作文件、窃取数据并保持持久性,同时使用 Ethereum 智能合约来检索其活跃的命令与控制服务器,这使得更难被破坏。
EtherRAT 此前曾被用于利用 React2Shell 漏洞的国家支持攻击中,此后已被众多其他威胁行为者采用。
Unit 42 表示,他们在分发服务器上发现了一个开放目录,其中包含多个版本的恶意软件安装程序(v1 到 v9),表明该活动正在积极开发中。
Teams 攻击迫使微软增加新的保护措施
最新的活动是在越来越多的攻击滥用 Microsoft Teams 入侵企业网络的背景下发生的。
3 月,一项活动针对金融和医疗保健组织,向受害者收件箱发送大量垃圾邮件,然后通过 Microsoft Teams 联系他们,伪装成公司 IT 人员。受害者被诱骗启动 Quick Assist 会话,最终导致部署了最新记录的 A0Backdoor 恶意软件。
一个月后,微软警告称,攻击者越来越多地滥用外部 Microsoft Teams 来冒充技术支持人员,并说服员工授予他们对其设备的远程访问权限。一旦进入网络,攻击者就会进行侦察,横向移动到其他设备,并最终窃取数据。
为了帮助防御这些攻击,微软一直在为 Teams 增加新的保护措施。
今年早些时候,该公司增加了识别外部呼叫者和聊天的警告,以防范潜在的钓鱼/语音钓鱼攻击。
上周,微软还引入了一项新的 Teams 管理员策略,该策略会自动将可疑的第三方机器人放入会议大厅,直到组织者可以手动批准其入场。


消息来源:bleepingcomputer.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介