Хакеры используют Microsoft Teams для развертывания вредоносных программ

Недавнее нарушение кибербезопасности показало, как атака социальной инженерии с использованием голосового фишинга (vishing) через Microsoft Teams позволила злоумышленнику установить вредоносное ПО DarkGate на систему жертвы.

Атака, проанализированная командой Managed Detection and Response от Trend Micro (MDR), подчёркивает эволюцию киберугроз и критическую необходимость в робустных стратегиях обороны. Атака началась, когда жертва получила несколько тысяч электронных писем, после чего злоумышленник, выдавая себя за представителя клиента, связался через Microsoft Teams.

Имитатор приказал жертве загрузить приложение Microsoft Remote Support, но после того как попытка установки не удалась, злоумышленнику удалось убедить жертву загрузить AnyDesk, законный инструмент удалённого рабочего стола.

Затем злоумышленник направил жертву ввести свои учетные данные, предоставив несанкционированный доступ к системе.

Оказавшись в системе, злоумышленник загрузил несколько подозрительных файлов, один из которых был определен как Trojan.AutoIt.DARKGATE.D, инициировав серию команд. Это привело к установлению связи с потенциальным сервером управления и контроля (C&C), позволяя злоумышленнику выполнить дальнейшие вредоносные действия.

Несмотря на то, что атака была прекращена до того, как произошла эксфильтрация данных, она подчеркнула несколько уязвимостей в управлении удаленным доступом и тактике социальной инженерии.

Атакующий использовал скрипты AutoIt для удаленного управления машиной жертвы, выполняя команды для сбора информации о системе и создания более постоянного плацдарма.

Примечательно, что процесс AutoIt3.exe выполнил серию команд, которые загрузили дополнительное вредоносное ПО, включая скрипты, которые пытались подключиться к внешним IP. Вредоносное ПО было разработано так, чтобы избегать обнаружения, искало антивирусные продукты и создавало множество случайных файлов, чтобы замаскировать свое присутствие.

Конечной целью атаки, по-видимому, была установка окончательной нагрузки DarkGate. Эта нагрузка позволила бы злоумышленнику контролировать систему жертвы и потенциально извлекать конфиденциальные данные. Однако атака была обнаружена вовремя, что предотвратило достижение злоумышленником своих целей.

Для защиты от подобных атак эксперты рекомендуют организациям тщательно проверять поставщиков технической поддержки третьих сторон. Инструменты удаленного доступа, такие как AnyDesk, должны быть внесены в белый список и контролироваться, с включением многофакторной аутентификации (MFA) для предотвращения несанкционированного доступа.

Кроме того, сотрудникам следует регулярно проходить обучение для распознавания тактик социальной инженерии и попыток фишинга, которые остаются ключевым вектором для кибератак.