Троян в облаке: Microsoft Teams стал новым вектором атак

Специалисты Sophos зафиксировали две кампании группировок STAC5143 и STAC5777, в ходе которых используется Microsoft Teams для проникновения в организации с целью кражи данных и распространения программ-вымогателей.

Sophos начала расследование инцидентов в ноябре и декабре 2024 года. Обе группы используют собственные учетные записи Microsoft Office 365 для подготовки атак и задействуют стандартные настройки Teams, позволяющие внешним пользователям связываться с сотрудниками целевых организаций.

STAC5143 и STAC5777 применяют схожие тактики. Атака начинается с массовой рассылки спам-писем — до 3000 сообщений за час. Цель — перегрузить почтовые ящики сотрудников и создать ощущение срочности. Затем злоумышленники связываются через Teams, представляясь сотрудниками техподдержки и убеждая жертву предоставить доступ к устройству.

Получив доступ к устройствам, хакеры устанавливают вредоносное ПО, используя легитимные сервисы Microsoft Quick Assist и Teams. Используя учетные записи сотрудников, атакующие получают доступ к другим системам через VPN, RDP и Windows Remote Management.

STAC5143 делает акцент на автоматизации. Злоумышленники используют Java-архивы (JAR), Python и удалённые ресурсы, такие как SharePoint, для загрузки бэкдоров. В одной из атак были выявлены JAR-файлы, которые извлекали архивы с вредоносным кодом и исполняли команды через PowerShell, обходя стандартные механизмы защиты Windows.

STAC5777, напротив, полагается на «ручные» действия: киберпреступники получают доступ к устройствам с помощью Quick Assist и далее вручную устанавливают вредоносное ПО. Группа связана с программой-вымогателем Black Basta, которую удалось заблокировать в одном из инцидентов.

Sophos предупреждает, что использование Microsoft Teams и других сервисов может представлять угрозу при отсутствии соответствующих настроек. Для защиты организации рекомендуется:

• Ограничить возможность подключения к Teams с внешних доменов.
• Заблокировать использование Quick Assist, если это не предусмотрено политиками компании.
• Установить интеграцию Office 365 с системой мониторинга безопасности.
• Провести обучение сотрудников, чтобы повысить осведомленность об угрозах.

Кибератаки демонстрируют, как злоумышленники адаптируют свои методы, используя легитимные сервисы для компрометации систем. Sophos продолжает анализировать действия групп STAC5143 и STAC5777 и настоятельно рекомендует всем организациям принять дополнительные меры безопасности.