Pelaku ancaman Storm-0324 mendistribusikan malware melalui obrolan Microsoft Teams
2 menit Baca
Ditampilkan di
Bagikan artikel ini
Sempurnakan panduan ini
Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut
Pelaku ancaman bermotivasi finansial yang dikenal sebagai Storm-0324 mendistribusikan malware melalui obrolan Microsoft Teams, menurut posting blog baru dari Microsoft.
Aktor tersebut diketahui mendapatkan akses awal ke jaringan menggunakan vektor infeksi berbasis email, dan kemudian menyerahkan akses ke aktor ancaman lainnya, seperti kelompok ransomware.
Jika Anda melewatkannya, pada Juli 2023, Storm-0324 diamati menggunakan alat sumber terbuka untuk mengirimkan umpan phishing melalui obrolan Microsoft Teams.
Umpan tersebut biasanya berisi tautan jahat yang, ketika diklik, akan mengunduh malware ke komputer korban. Malware tersebut kemudian dapat digunakan untuk mencuri data sensitif, memasang ransomware, atau melakukan tindakan lainnya.
Dalam kasus ini, tampaknya sah pada pandangan pertama, namun ketika diklik, itu mengarah ke file yang dihosting SharePoint yang berisi malware.
“Storm-0324 telah menggunakan banyak format file untuk meluncurkan JavaScript berbahaya termasuk dokumen Microsoft Office, Windows Script File (WSF), dan VBScript,” tulis laporan tersebut.
Grup Storm-0324 telah aktif setidaknya sejak tahun 2016 dan telah dikaitkan dengan beberapa serangan tingkat tinggi — termasuk beberapa trojan perbankan, serta ransomware Sage dan GandCrab.
Microsoft juga telah merilis temuan penyelidikannya terhadap aktor ancaman Tiongkok tersebut Badai-0558. Aktor tersebut mengeksploitasi masalah validasi zero-day di GetAccessTokenForResourceAPI, yang telah ditambal.
