Ο ηθοποιός απειλών Storm-0324 διανέμει κακόβουλο λογισμικό μέσω συνομιλιών του Microsoft Teams

Ένας παράγοντας απειλών με οικονομικά κίνητρα, γνωστός ως Storm-0324, διανέμει κακόβουλο λογισμικό μέσω συνομιλιών του Microsoft Teams, σύμφωνα με μια νέα θέση στο blog από τη Microsoft. 

Είναι γνωστό ότι ο ηθοποιός αποκτά αρχική πρόσβαση σε δίκτυα χρησιμοποιώντας φορείς μόλυνσης που βασίζονται σε email και στη συνέχεια παραχωρεί την πρόσβαση σε άλλους παράγοντες απειλών, όπως ομάδες ransomware.

Σε περίπτωση που το χάσατε, τον Ιούλιο του 2023, το Storm-0324 παρατηρήθηκε χρησιμοποιώντας ένα εργαλείο ανοιχτού κώδικα για να στέλνει θέλγητρα ηλεκτρονικού ψαρέματος μέσω συνομιλιών του Microsoft Teams. 

Τα θέλγητρα συνήθως περιέχουν κακόβουλους συνδέσμους στους οποίους, όταν κάνετε κλικ, κατεβάζουν κακόβουλο λογισμικό στον υπολογιστή του θύματος. Το κακόβουλο λογισμικό μπορεί στη συνέχεια να χρησιμοποιηθεί για την κλοπή ευαίσθητων δεδομένων, την εγκατάσταση ransomware ή για άλλες ενέργειες. 

Σε αυτήν την περίπτωση, φαίνεται νόμιμη από την πρώτη ματιά, αλλά όταν κάνετε κλικ, οδηγεί σε αρχεία που φιλοξενούνται στο SharePoint και περιέχουν κακόβουλο λογισμικό. 

«Το Storm-0324 έχει χρησιμοποιήσει πολλές μορφές αρχείων για την εκκίνηση του κακόβουλου JavaScript, συμπεριλαμβανομένων των εγγράφων του Microsoft Office, του Windows Script File (WSF) και του VBScript, μεταξύ άλλων», αναφέρει η αναφορά. 

Η ομάδα Storm-0324 είναι ενεργή τουλάχιστον από το 2016 και έχει συνδεθεί με πολλές επιθέσεις υψηλού προφίλ — συμπεριλαμβανομένων μερικών τραπεζικών trojans, καθώς και ransomware Sage και GandCrab.

Η Microsoft δημοσίευσε επίσης τα ευρήματα της έρευνάς της για τον κινέζο παράγοντα απειλών Καταιγίδα-0558. Ο ηθοποιός εκμεταλλεύτηκε ένα ζήτημα επικύρωσης μηδενικής ημέρας στο GetAccessTokenForResourceAPI, το οποίο έκτοτε έχει διορθωθεί.