通过 Microsoft Teams 群组聊天进行的钓鱼行为推送 DarkGate 恶意软件

情报员-57555

2024-02-02 09:36:13 热度8.2k+

新的网络钓鱼攻击滥用MicrosoftTeams群聊请求来推送在受害者系统上安装DarkGate恶意软件有效负载的恶意附件。

根据AT&T网络安全研究,攻击者使用看起来像受感染的Teams用户(或域)发送了1,000多个恶意Teams群聊邀请。

在目标接受聊天请求后,威胁行为者会使用名为“NavigatingFutureChangesOctober2023.pdf.msi”的双重扩展名诱骗他们下载文件,这是一种常见的DarkGate策略。

安装后,恶意软件将访问其位于hgfdytrywq[.]com的命令和控制服务器。它已被PaloAltoNetworks确认为DarkGate恶意软件基础设施的一部分。

这种网络钓鱼攻击是可能的,因为默认情况下,Microsoft允许外部MicrosoftTeams用户向其他租户的用户发送消息。

“除非日常业务使用绝对必要,否则对于大多数公司来说,在MicrosoftTeams中禁用外部访问是可取的,因为电子邮件通常是一种更安全,更密切监控的通信渠道,”AT&T网络安全网络安全工程师PeterBoyle警告说。

“与往常一样,最终用户应该接受培训,以注意未经请求的消息来自哪里,并且应该提醒他们,网络钓鱼可以采取多种形式,而不仅仅是典型的电子邮件。

MicrosoftTeams因其每月2.8亿用户的庞大池而成为威胁行为者的有吸引力的目标。DarkGate运营商利用这一点,通过MicrosoftTeams推送恶意软件,攻击针对管理员未通过禁用外部访问设置来保护其租户的组织。

去年也观察到类似的活动,通过受感染的外部Office365帐户和Skype帐户推送DarkGate恶意软件,这些帐户发送了包含VBA加载程序脚本附件的消息。

像Storm-0324这样的初始访问代理也使用MicrosoftTeams进行网络钓鱼,借助名为TeamsPhisher的公开可用工具破坏公司网络,该工具利用了MicrosoftTeams中的安全问题。

TeamsPhisher使攻击者能够发送恶意有效负载,尽管客户端保护应阻止来自外部租户帐户的文件传递。

APT29是俄罗斯外国情报局(SVR)的一个黑客部门,利用同样的问题针对全球数十个组织,包括政府机构。

DarkGate恶意软件攻击激增

在8月份破坏Qakbot僵尸网络的国际合作努力之后,网络犯罪分子越来越多地将DarkGate恶意软件加载程序作为他们最初访问企业网络的首选方式。

在Qakbot僵尸网络被关闭之前,一个自称是DarkGate开发者的人试图在黑客论坛上出售每年100,000美元的订阅费。

DarkGate的开发人员表示,它包括许多功能,例如隐藏的VNC、绕过WindowsDefender的工具、浏览器历史记录盗窃工具、集成的反向代理、文件管理器和Discord令牌窃取器。

在开发者宣布之后,报告的DarkGate感染数量显着激增,网络犯罪分子采用了各种交付方法,包括网络钓鱼和恶意广告。

免责声明:以上内容为发帖人个人观点。平台无法验证上述内容的真实、准确和原创性,对此不作任何保证与承诺。
Cyber2021,348192 等2个用户觉得很赞
全部评论(0)
情报员-57555

这个用户很神秘哦,什么都没留下

扫码关注情报星球

手机看情报,把安全装进口袋