据AT&T Cybersecurity 的研究显示,有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件,从而在受害者系统中安装 DarkGate 恶意软件。
据统计,攻击者现已发送了 1000 多个恶意 Teams 群聊邀请。一旦目标对象接受聊天请求,攻击者会诱骗他们下载一个使用双扩展名的文件,文件名为 "Navigating Future Changes October 2023.pdf.msi",这是 DarkGate 常用的伎俩。
安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器,Palo Alto Networks 已确认该服务器是 DarkGate 恶意软件基础架构的一部分。
由于在默认情况下,微软允许外部 Microsoft Teams 用户向其他用户发送消息,这才给了这种类型的网络钓鱼攻击可乘之机。
AT&T Cybersecurity 网络安全工程师Peter Boyle认为:除非日常的必要业务需使用,否则他建议大多数公司禁用 Microsoft Teams 中的外部访问,因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样,很可能不是那种典型的电子邮件钓鱼诈骗形式。
网络钓鱼群聊 图片来源:AT&T 网络安全
Microsoft Teams 拥有数量庞大的 2.8 亿用户,是威胁行为者眼中的一块“肥肉”。DarkGate 操作员正是利用这一点,通过 Microsoft Teams 推送恶意软件。
去年也出现过类似的活动,恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。
Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络,还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输,攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷。
APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门,它利用这种方式攻击了全球数十个组织,包括政府机构。
自去年 8 月 Qakbot 僵尸网络被捣毁后,网络犯罪分子更多地转向 DarkGate 恶意软件加载器,将其作为初始访问企业网络的首选。
而就在 Qakbot 僵尸网络被攻陷之前,有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称,它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。
在开发者发布消息后,就出现了越来越多的 DarkGate 攻击事件,网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。
参考资料:
Microsoft Teams phishing pushes DarkGate malware via group chats (bleepingcomputer.com)