Các nhóm ransomware giả mạo bộ phận hỗ trợ kỹ thuật trong cuộc tấn công lừa đảo Microsoft Teams
Các nhóm tội phạm mạng chuyên về ransomware đang ngày càng áp dụng một chiến thuật tinh vi hơn để xâm nhập vào hệ thống của các tổ chức. Họ đang sử dụng kết hợp giữa việc gửi hàng nghìn email spam và giả mạo là nhân viên hỗ trợ kỹ thuật qua ứng dụng Microsoft Teams để lừa nạn nhân cấp quyền truy cập từ xa và cài đặt phần mềm độc hại.
Chiến thuật này đã được quan sát thấy từ cuối năm ngoái trong các cuộc tấn công liên quan đến ransomware Black Basta, nhưng gần đây các nhà nghiên cứu bảo mật tại Sophos cũng phát hiện ra rằng các nhóm tội phạm khác có thể liên quan đến nhóm FIN7 cũng đang sử dụng phương pháp tương tự.
Cách thức hoạt động của các nhóm tội phạm
Để tiếp cận nhân viên của các công ty mục tiêu, những kẻ tấn công lợi dụng cấu hình mặc định của Microsoft Teams tại tổ chức bị nhắm đến, cho phép nhận cuộc gọi và trò chuyện từ các miền bên ngoài. Quá trình tấn công thường diễn ra theo ba giai đoạn chính:
- Email bombing: Gửi hàng nghìn email spam trong thời gian ngắn để gây rối loạn và làm phân tâm nạn nhân.
- Giả mạo IT support: Sử dụng Microsoft Teams để liên lạc với nạn nhân, giả mạo là nhân viên bộ phận hỗ trợ kỹ thuật.
- Cài đặt phần mềm độc hại: Lừa nạn nhân cấp quyền truy cập từ xa và cài đặt các công cụ độc hại.
Chi tiết về các chiến dịch cụ thể
Chiến dịch STAC5143
Bắt đầu bằng việc gửi khoảng 3.000 email spam trong vòng 45 phút.
Sau đó, nạn nhân nhận được cuộc gọi từ bên ngoài qua Microsoft Teams từ tài khoản tên "Quản lý Bộ phận Hỗ trợ".
Nạn nhân đã bị thuyết phục thiết lập phiên kiểm soát màn hình từ xa thông qua Microsoft Teams.
Kẻ tấn công đã thả một tệp lưu trữ Java (MailQueue-Handler.jar) và các tập lệnh Python (cổng sau RPivot) được lưu trữ trên liên kết SharePoint bên ngoài.
Phần mềm độc hại tạo kênh giao tiếp điều khiển và chỉ huy (C2) được mã hóa với các địa chỉ IP bên ngoài, cung cấp cho kẻ tấn công quyền truy cập từ xa vào máy tính bị xâm phạm.
Chiến dịch STAC5777
Cũng bắt đầu bằng việc gửi email spam và sau đó là các tin nhắn Microsoft Teams, tuyên bố là từ bộ phận hỗ trợ kỹ thuật.
Nạn nhân bị lừa cài đặt Microsoft Quick Assist để cho kẻ tấn công quyền truy cập bàn phím trực tiếp.
Phần mềm độc hại (winhttp.dll) được tải bên cạnh quá trình Microsoft OneDriveStandaloneUpdater.exe hợp pháp.
Malware này ghi lại các lần nhấn phím của nạn nhân, thu thập thông tin đăng nhập được lưu trữ từ các tệp và registry, và quét mạng để tìm điểm chuyển hướng tiềm năng.
Liên kết với nhóm FIN7
Sophos đã quan sát thấy một số dấu hiệu cho thấy có thể có mối liên hệ giữa chiến dịch STAC5143 và nhóm FIN7 nổi tiếng. Cụ thể:
Việc sử dụng RPivot đã từng được quan sát trong các cuộc tấn công trước đây của FIN7.
Các kỹ thuật che giấu mã đã được sử dụng trước đây trong các chiến dịch của FIN7.
Kết luận và khuyến nghị
Khi các chiến thuật này trở nên phổ biến hơn trong không gian ransomware, các tổ chức nên xem xét việc:
Vô hiệu hóa Quick Assist trên các môi trường quan trọng.
Nâng cao nhận thức về an ninh mạng cho nhân viên về các cuộc tấn công lừa đảo qua Microsoft Teams.
Triển khai các biện pháp bảo vệ mạnh mẽ như giải pháp phát hiện và phản hồi điểm cuối (EDR) để xác định hoạt động độc hại.
Giám sát lưu lượng truy cập mạng để phát hiện các mẫu bất thường có thể chỉ ra hoạt động ransomware.
