Storm-0324-uhkatekijä jakaa haittaohjelmia Microsoft Teams -keskustelujen kautta

Taloudellisesti motivoitunut uhkatekijä, joka tunnetaan nimellä Storm-0324, levittää haittaohjelmia Microsoft Teams -keskustelujen kautta. uusi blogikirja Microsoftilta. 

Näyttelijän tiedetään saavan aluksi pääsyn verkkoihin sähköpostipohjaisten tartuntavektoreiden avulla ja luovuttavan sitten pääsyn muille uhkatoimijoille, kuten kiristysohjelmaryhmille.

Jos unohdat sen, Storm-2023 havaittiin heinäkuussa 0324 käyttämällä avoimen lähdekoodin työkalua tietojenkalasteluvieheiden lähettämiseen Microsoft Teams -keskustelujen kautta. 

Vieheissä on tyypillisesti haitallisia linkkejä, joita napsautettuna ladataan haittaohjelma uhrin tietokoneelle. Haittaohjelmaa voidaan sitten käyttää arkaluontoisten tietojen varastamiseen, kiristysohjelmien asentamiseen tai muihin toimiin. 

Tässä tapauksessa se näyttää ensisilmäyksellä aidolta, mutta napsautettuna se johtaa SharePointin isännöimiin tiedostoihin, jotka sisältävät haittaohjelmia. 

"Storm-0324 on käyttänyt monia tiedostomuotoja käynnistääkseen haitallisen JavaScriptin, mukaan lukien Microsoft Office -asiakirjat, Windows Script File (WSF) ja VBScript", raportissa lukee. 

Storm-0324-ryhmä on ollut aktiivinen ainakin vuodesta 2016 lähtien, ja se on yhdistetty useisiin korkean profiilin hyökkäyksiin - mukaan lukien muutama pankkitroijalainen sekä Sage- ja GandCrab-lunnasohjelmat.

Microsoft on myös julkistanut kiinalaista uhkatekijää koskevan tutkimuksensa tulokset Myrsky-0558. Näyttelijä käytti hyväkseen nollapäivän vahvistusongelmaa GetAccessTokenForResourceAPI:ssa, joka on sittemmin korjattu.