Der Bedrohungsakteur Storm-0324 verbreitet Malware über Microsoft Teams-Chats
2 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Demnach verbreitet ein finanziell motivierter Bedrohungsakteur namens Storm-0324 Malware über Microsoft Teams-Chats ein neuer Blogeintrag von Microsoft.
Es ist bekannt, dass sich der Akteur über E-Mail-basierte Infektionsvektoren zunächst Zugang zu Netzwerken verschafft und den Zugriff dann an andere Bedrohungsakteure, beispielsweise Ransomware-Gruppen, weitergibt.
Falls Sie es verpasst haben: Im Juli 2023 wurde beobachtet, wie Storm-0324 ein Open-Source-Tool nutzte, um Phishing-Köder über Microsoft Teams-Chats zu versenden.
Die Köder enthalten typischerweise bösartige Links, die beim Anklicken Malware auf den Computer des Opfers herunterladen. Die Malware kann dann dazu verwendet werden, sensible Daten zu stehlen, Ransomware zu installieren oder andere Aktionen durchzuführen.
In diesem Fall scheint es auf den ersten Blick legitim zu sein, aber wenn es angeklickt wird, führt es zu auf SharePoint gehosteten Dateien, die Malware enthalten.
„Storm-0324 hat viele Dateiformate verwendet, um das bösartige JavaScript zu starten, darunter unter anderem Microsoft Office-Dokumente, Windows Script File (WSF) und VBScript“, heißt es in dem Bericht.
Die Storm-0324-Gruppe ist seit mindestens 2016 aktiv und wurde mit mehreren aufsehenerregenden Angriffen in Verbindung gebracht – darunter einige Banking-Trojaner sowie die Ransomware Sage und GandCrab.
Microsoft hat außerdem die Ergebnisse seiner Untersuchung des chinesischen Bedrohungsakteurs veröffentlicht Sturm-0558. Der Akteur nutzte ein Zero-Day-Validierungsproblem in der GetAccessTokenForResourceAPI aus, das inzwischen gepatcht wurde.
