Microsoft Teams и Quick Assist: новые методы злоумышленников

 

Исследователи в области безопасности из Trend Micro выявили сложную кибератаку с использованием тактики социальной инженерии и широко распространённых инструментов удалённого доступа.

Атака, в ходе которой используется скрытое вредоносное ПО, позволяет киберпреступникам постоянно контролировать взломанные устройства и красть конфиденциальные данные.

По данным Trend Micro Threat Intelligence, с октября 2024 года большинство инцидентов было зафиксировано в Северной Америке, где было зарегистрировано 21 нарушение. Больше всего пострадали США, где было зафиксировано 17 инцидентов, за ними следуют Канада и Великобритания, где было зафиксировано по пять инцидентов. В Европе было зафиксировано 18 инцидентов.

Как работает атака

Сначала злоумышленники используют методы социальной инженерии для получения первоначального доступа, обманом заставляя жертв предоставлять учётные данные. Microsoft Teams используется для выдачи себя за другое лицо, а Quick Assist и аналогичное программное обеспечение для удалённого доступа помогают злоумышленникам повышать привилегии.

OneDriveStandaloneUpdater.exe, законный инструмент для обновления OneDrive, используется для загрузки вредоносных библиотек DLL, предоставляя злоумышленникам доступ к сети.

Затем злоумышленники внедряют вредоносное ПО BackConnect, которое позволяет им сохранять контроль над заражёнными системами. Вредоносные файлы размещаются и распространяются с помощью коммерческих облачных сервисов хранения данных, которые используют неправильно настроенные или общедоступные корзины хранения.

Исследователи связали вредоносную программу BackConnect с QakBot — загрузчиком вредоносных программ, который стал объектом операции по удалению в 2023 году, известной как «Операция Duckhunt».

QakBot сыграл решающую роль в предоставлении злоумышленникам, использующим программу-вымогатель Black Basta, доступа к целевым системам. После его удаления эти злоумышленники перешли на альтернативные методы для продолжения своей деятельности.

Узнайте больше о растущем использовании социальной инженерии в кибератаках: 92% организаций пострадали от компрометации учётных данных в результате атак с использованием социальной инженерии

Соединение Black Basta и Cactus с вымогателями

Аналитики Trend Micro недавно изучили случаи, когда злоумышленники, использующие программы-вымогатели Black Basta и Cactus, применяли одну и ту же вредоносную программу BackConnect.

Эта вредоносная программа позволяет злоумышленникам удалённо выполнять команды, красть учётные данные и финансовые сведения.

Только Black Basta в 2023 году вымогала у жертв 107 миллионов долларов, причём больше всего пострадали производители, затем финансовые услуги и недвижимость.

Злоумышленники также использовали WinSCP, клиент для передачи файлов с открытым исходным кодом, для перемещения данных в скомпрометированных средах. Вредоносные файлы изначально загружались с облачного хранилища, а затем переупаковывались и внедрялись через уязвимости системы.

Дальнейшее расследование утечек из внутреннего чата Black Basta позволяет предположить, что участники группировки теперь переходят на программу-вымогатель Cactus. Исследователи считают, что этот переход позволит Cactus оставаться серьёзной угрозой в 2025 году.

Стратегии защиты и смягчения последствий

Чтобы противостоять этим возникающим угрозам, организациям следует:

• Усильте меры аутентификации, включая многофакторную аутентификацию (MFA) и процедуры проверки пользователей
• Ограничьте использование инструментов удаленного доступа, таких как Quick Assist, за исключением случаев, когда это явно требуется
• Регулярно проводите аудит конфигураций облачных хранилищ для предотвращения несанкционированного доступа
• Отслеживайте сетевой трафик на предмет подозрительных исходящих подключений к известным командно-контрольным серверам
• Обучите сотрудников тактике социальной инженерии, чтобы снизить их восприимчивость к фишингу и попыткам выдать себя за других людей

Поскольку тактика использования программ-вымогателей становится всё более изощрённой, специалисты по кибербезопасности должны сохранять бдительность в отношении угроз, сочетающих социальную инженерию с использованием законных инструментов. Для предотвращения таких атак необходимы упреждающие меры защиты и постоянный мониторинг.