Фішингова кампанія на тему Microsoft Teams надає віддалений доступ
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Активна фішингова кампанія використовує приманки у стилі Microsoft Teams для розповсюдження легітимних інструментів віддаленого доступу для несанкціонованого доступу. Жертви спрямовані на фальшиві цільові сторінки, що імітують служби продуктивності, для завантаження зловмисних установчих файлів. Операція використовує подвійну стратегію інфраструктури, що включає як скомпрометовані легітимні вебсайти, так і хостинг на хмарах, контрольованих атакуючим.
Розслідування
Розслідування виявило багатотемну кампанію, що використовує соціальну інженерію для заохочення завантаження програмного забезпечення. Аналіз показав інфраструктуру, що складається зі скомпрометованих вебсайти малого бізнесу та серверів, розміщених на Cloudflare. Діяльність після виконання включає глибоку інтеграцію в систему через установку служб, реєстрацію пакету аутентифікації LSA та викрадення об’єктів COM для постійного доступу.
Мітигація
Організації повинні впровадити фішингостійке MFA та дозволяти лише білий список програм для обмеження несанкціонованої установки програмного забезпечення. Командам з безпеки слід стежити за незвичайними створеннями служб Windows, модифікаціями пакету аутентифікації LSA та змінами реєстру SafeMode. Навчання користувачів має особливо зосереджуватися на перевірці несподіваних повідомлень з платформ співпраці.
Відповідь
Після виявлення організації повинні ізолювати уражені кінцеві точки, щоб запобігти подальшому латеральному просуванню. Проведіть судову експертизу, щоб виявити та видалити всі механізми збереження, включаючи користувацькі провайдери облікових даних та об’єкти COM. Настійно рекомендується ретельний скидання облікових даних для всіх постраждалих облікових записів користувачів.
"flowchart TD step_initial_access["Початковий доступ: T1566.002 – Фішинг: Цільове фішингове посилання через імітовані повідомлення Microsoft Teams"] step_drive_by["T1189 – Запропонований компроміс через фальшиві цільові сторінки, що спонукають до завантаження установника"] step_user_execution["Виконання користувача: T1204.002 – Шкідливий файл; включає системні перевірки (T1497.001) та відкладене виконання (T1678)"] step_execution_injection["T1055 – Впорскування процесу через реєстрацію об’єкта COM та використання інструментів віддаленого доступу (T1219)"] rules_for_execution_injection("<b>Назва правила</b>: Підозріле управління і керування через незвичайний запит DNS верхнього рівня домену (TLD)<br/><b>Ідентифікатор правила</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Стійкість: T1543.003 (Служба Windows), T1547.002 (Автоматичний запуск при завантаженні/вході), та T1546.015 (Викрадення COM)"] step_credential_access["Доступ до облікових даних: T1556 – Модифікація процесу аутентифікації для перехоплення облікових даних при вході"] step_initial_access –>|веде до| step_drive_by step_drive_by –>|веде до| step_user_execution step_user_execution –>|веде до| step_execution_injection step_execution_injection –>|веде до| step_persistence step_persistence –>|веде до| step_credential_access step_execution_injection -.->|виявлено| rules_for_execution_injection "
Потік атаки
Виявлення
Можливе зловживання доменом розробки Cloudflare (через dns)
Перегляд
Підозріле управління і керування через незвичайний запит DNS верхнього рівня домену (TLD) через dns
Перегляд
Виявлення фішингової кампанії у стилі Microsoft Teams [Створення процесу Windows]
Перегляд
Виявлення фішингової кампанії Microsoft Teams [Журнал безпеки Windows]
Перегляд
Виконання симуляції
Попередня умова: Перевірка телеметрії та базових налаштувань повинна бути пройдена.
Мотивація: Цей розділ детально описує точне виконання техніки супротивника (TTP), що призначена для запуску правила виявлення. Команди та описи ПОВИННІ прямо відображати ідентифіковані TTP і націлені на генерацію точної телеметрії, яку очікує логіка виявлення.
-
Сценарій атаки та команди: Зловмисник доставляє електронний лист у стилі Microsoft Teams, що містить посилання на зловмисний
.msiпакет. Коли користувач виконує пакет,msiexec.exeзапускається з параметрами, призначеними для установки прихованого бекдора. Для постійності, установник запускаєrundll32.exeдля завантаження користувацької DLL, що реєструє нову системну службу. Командний рядок спеціально включає рядокслужбидля імітації поведінки, описаної в звіті про загрозу, тим самим викликаючи правило виявлення. -
Скрипт регресійного тестування:
# Скрипт симуляції для виклику правила виявлення # Ціль: Виконати 'msiexec' або 'rundll32' зі словом 'service' в командному рядку Write-Host "[+] Початок симуляції: Виклик виявлення служби MSI/Rundll32" -ForegroundColor Cyan # Сценарій 1: Виклик через msiexec.exe Write-Host "[+] Сценарій 1: Виконання msiexec зі словом 'service'..." -ForegroundColor Yellow Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait # Сценарій 2: Виклик через rundll32.exe Write-Host "[+] Сценарій 2: Виконання rundll32.exe зі словом 'service'..." -ForegroundColor Yellow Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait Write-Host "[+] Симуляцію завершено." -ForegroundColor Green -
Команди для очищення:
# Ніяких постійних змін скрипт симуляції не робив, оскільки він використовував існуючі системні бінарники та не руйнівні аргументи. Очищення не потрібно. Write-Host "[+] Очищення: Не були створені жодні артефакти." -ForegroundColor Cyan