Storm-0324 actorul amenințărilor distribuie malware prin chat-urile Microsoft Teams

Un actor de amenințări motivat financiar cunoscut sub numele de Storm-0324 distribuie malware prin chat-urile Microsoft Teams, potrivit o nouă postare pe blog de la Microsoft. 

Se știe că actorul obține accesul inițial la rețele folosind vectori de infecție bazați pe e-mail și apoi predă accesul altor actori amenințări, cum ar fi grupurile de ransomware.

În cazul în care ați ratat-o, în iulie 2023, Storm-0324 a fost observată folosind un instrument open-source pentru a trimite momeli de phishing prin chat-urile Microsoft Teams. 

Nalucile conțin de obicei link-uri rău intenționate care, atunci când se fac clic, descarcă programe malware pe computerul victimei. Malware-ul poate fi apoi folosit pentru a fura date sensibile, pentru a instala ransomware sau pentru a întreprinde alte acțiuni. 

În acest caz, pare legitim de la prima vedere, dar când se face clic, duce la fișiere găzduite de SharePoint care conțin malware. 

„Storm-0324 a folosit multe formate de fișiere pentru a lansa JavaScript rău intenționat, inclusiv documente Microsoft Office, Windows Script File (WSF) și VBScript, printre altele”, se arată în raport. 

Grupul Storm-0324 este activ din cel puțin 2016 și a fost legat de mai multe atacuri de mare profil - inclusiv câțiva troieni bancari, precum și ransomware-ul Sage și GandCrab.

Microsoft a publicat, de asemenea, concluziile investigației sale asupra actorului chinez de amenințare Furtuna-0558. Actorul a exploatat o problemă de validare zero-day în GetAccessTokenForResourceAPI, care de atunci a fost corectată.