Microsoft menciona que un broker de acceso inicial conocido por trabajar con grupos de ransomware recientemente cambió a los ataques de phishing de Microsoft Teams para violar las redes corporativas.


El grupo de amenazas con motivación financiera detrás de esta campaña se rastrea como Storm-0324, un actor malicioso conocido por haber implementado ransomware Sage y GandCrab en el pasado.


Storm-0324 también ha proporcionado a la famosa banda de ciberdelincuentes FIN7 acceso a redes corporativas después de comprometerlas utilizando JSSLoader, Gozi y Nymaim.


Se vio a FIN7 (también conocido como Sangria Tempest y ELBRUS) implementando el ransomware Clop en las redes de las víctimas. También estuvo vinculado anteriormente a los ransomware Maze y REvil antes de las ahora desaparecidas operaciones de ransomware como servicio (Raas) BlackMatter y DarkSide.


"En julio de 2023, Storm-0324 comenzó a utilizar señuelos de phishing enviados a través de Teams con enlaces maliciosos que conducían a un archivo malicioso alojado en SharePoint", dijo Microsoft el martes.


"Para esta actividad, Storm-0324 probablemente dependa de una herramienta disponible públicamente llamada TeamsPhisher".


Esta herramienta de código abierto permite a los atacantes eludir las restricciones de archivos entrantes de inquilinos externos y enviar archivos adjuntos de phishing a los usuarios de Teams.


Lo hace explotando un problema de seguridad en Microsoft Teams descubierto por los investigadores de seguridad de Jumpsec que Microsoft se negó a abordar en julio después de decir que la falla "no cumplía con los requisitos para un servicio inmediato".


Sin embargo, el problema también fue explotado por APT29, la división de piratería informática del Servicio de Inteligencia Exterior de Rusia (SVR), en ataques contra decenas de organizaciones, incluidas agencias gubernamentales de todo el mundo.


Si bien Microsoft no proporcionó detalles sobre el objetivo final de los ataques de Storm-0324 esta vez, los ataques de APT29 tenían como objetivo robar las credenciales de los objetivos después de engañarlos para que aprobaran las solicitudes de autenticación multifactor (MFA).


Hoy, la compañía dijo que desde entonces ha estado trabajando para detener estos ataques y proteger a los clientes de Teams.


"Microsoft toma muy en serio estas campañas de phishing y ha implementado varias mejoras para defenderse mejor contra estas amenazas", dijo Microsoft.


Según Redmond, los actores de amenazas que utilizan estas tácticas de phishing de Teams ahora son reconocidos como usuarios "EXTERNOS" cuando el acceso externo está habilitado dentro de la configuración de una organización.


"También hemos implementado mejoras en la experiencia Aceptar/Bloquear en chats individuales dentro de Teams, para enfatizar la externalidad de un usuario y su dirección de correo electrónico para que los usuarios de Teams puedan tener más precaución al no interactuar con remitentes desconocidos o maliciosos.", dijo Microsoft.


"Implementamos nuevas restricciones en la creación de dominios dentro de los inquilinos y mejoras en las notificaciones a los administradores de los inquilinos cuando se crean nuevos dominios dentro de su inquilino".


Después de detectar los ataques de phishing de Teams de Storm-0324, Microsoft suspendió a todos los inquilinos y cuentas que utilizaron en la campaña.


Fuente: bleepingcomputer