Resim: Midjourney
Microsoft, fidye yazılım gruplarıyla çalıştığı bilinen bir ilk erişim brokeri, yakın zamanda kurumsal ağları ihlal etmek için Microsoft Teams kimlik avı saldırılarına geçtiğini söyledi.
Bu kampanyanın arkasındaki finansal olarak motive olmuş tehdit grubu, geçmişte adaçayı ve gandcrab fidye yazılımını konuşlandırdığı bilinen kötü niyetli bir aktör olan Storm-0324 olarak izlendi.
Storm-0324, JSSSloader, Gozi ve Nymaim'i kullanarak onlardan ödün verdikten sonra kurumsal ağlara kötü şöhretli FIN7 siber suçlu çetesi erişimini sağladı.
Fin7 (diğer adıyla Sangria Tempest ve Elbrus) kurbanların ağlarına klop fidye yazılımı dağıtıldığı görüldü. Ayrıca, şimdi yok olan Blackmatter ve Hizmet Olarak Darkside Fidye Yazılımları (RAAS) operasyonlarından önce daha önce Maze ve Revil fidye yazılımı ile bağlantılıydı.
Microsoft Salı günü yaptığı açıklamada, "Temmuz 2023'te Storm-0324, kötü niyetli bir SharePoint barındıran dosyaya yol açan kötü amaçlı bağlantılara sahip takımlar üzerinde gönderilen kimlik avı yemlerini kullanmaya başladı." Dedi.
"Bu etkinlik için Storm-0324 büyük olasılıkla TeamSphisher adlı halka açık bir araca güveniyor."
Bu açık kaynaklı araç, saldırganların dış kiracılardan gelen dosyaların kısıtlamalarını atlamasını ve ekiplerin kullanıcılarına kimlik avı ekleri göndermesini sağlar.
Bunu, Microsoft Güvenlik Araştırmacıları tarafından keşfedilen Microsoft ekiplerinde Microsoft'un, kusurun "hemen hizmet için çıtayı karşılamadığını" söyledikten sonra Temmuz ayında ele almayı reddettiği bir güvenlik sorunundan yararlanarak yapıyor.
Bununla birlikte, konu, dünya çapında devlet kurumları da dahil olmak üzere düzinelerce kuruluşa yönelik saldırılarda Rusya Dış İstihbarat Servisi (SVR) hackleme bölümü APT29 tarafından da kullanıldı.
Microsoft, bu sefer Storm-0324 saldırılarının nihai hedefi hakkında ayrıntı vermese de, APT29'un saldırıları, çok faktörlü kimlik doğrulama (MFA) istemlerini onaylamaya yönelik hedeflerin kimlik bilgilerini çalmayı amaçladı.
Bugün şirket, o zamandan beri bu saldırıları durdurmak ve ekipleri korumak için çalıştığını söyledi.
Microsoft, "Microsoft bu kimlik avı kampanyalarını çok ciddiye alıyor ve bu tehditlere karşı daha iyi savunmak için çeşitli iyileştirmeler yaptı." Dedi.
Redmond'a göre, bu ekipleri kimlik avı taktiklerini kullanan tehdit aktörleri artık bir kuruluşun ayarlarında harici erişim etkinleştirildiğinde "harici" kullanıcılar olarak kabul ediliyor.
"Ayrıca, ekiplerin dışsallığını ve e-posta adreslerini vurgulamak için ekipler içindeki bire bir sohbetlerde kabul/blok deneyiminde geliştirmeler yaptık, böylece ekipler kullanıcıların bilinmeyen veya kötü niyetli gönderenlerle etkileşime girmeyerek daha iyi uyarı verebilmelerini sağladık. "Microsoft dedi.
Diyerek şöyle devam etti: "Kiracılar içinde alan adlarının oluşturulması ve kiracıları içinde yeni alanlar oluşturulduğunda kiracı yöneticilerine bildirimleri geliştirdik."
Storm-0324 takımlarının kimlik avı saldırılarını tespit ettikten sonra Microsoft, kampanyada kullandıkları tüm kiracıları ve hesapları askıya aldı.
Microsoft Teams kimlik avı saldırısı Darkgate kötü amaçlı yazılımları zorluyor
İlk Erişim Broker Ekonomisi: Karanlık Web Hacking Forumlarına Derin Dalış
İspanya Lockbit Locker Fidye Yazılımı Kimlik Yardım Saldırılarını uyarıyor
Rus hackerlar Microsoft Teams Kimlik Yardım Saldırılarında Govt Orgs hedef
Microsoft Teams Down: Mesaj hatalarının arkasında devam eden kesintiler, gecikmeler
Kaynak: Bleeping Computer