Les gangs de ransomwares adoptent de plus en plus le bombardement d’e-mails, suivi de se faire passer pour un support technique dans les appels de Microsoft Teams pour inciter les employés à autoriser le contrôle à distance et à installer des logiciels malveillants qui donnent accès au réseau de l’entreprise.
Les auteurs de la menace envoient des milliers de messages de spam sur une courte période, puis appellent la cible à partir d’une instance Office 365 contrôlée par un adversaire prétendant fournir un support informatique.
Cette tactique a été observée depuis la fin de l’année dernière dans les attaques attribuées au ransomware Black Basta, mais des chercheurs de la société de cybersécurité Sophos ont vu la même méthode utilisée par d’autres acteurs de la menace qui pourraient être connectés au groupe FIN7.
Pour atteindre les employés de l’entreprise, les pirates profitent de la configuration par défaut de Microsoft Teams dans l’organisation ciblée qui autorise les appels et les discussions à partir de domaines externes.
Activité observée
La première campagne étudiée par Sophos a été liée à un groupe que les chercheurs suivent en interne sous le nom de STAC5143. Les pirates ont commencé par envoyer par courrier électronique à des cibles un nombre massif de messages, à un rythme de 3 000 en 45 minutes.
Peu de temps après, l’employé ciblé a reçu un appel d’équipes externes d’un compte nommé “Responsable du service d’assistance.” L’auteur de la menace a convaincu la victime de configurer une session de contrôle d’écran à distance via Microsoft Teams.
L’attaquant a déposé un fichier d’archive Java (JAR) (MailQueue-Handler.jar) et des scripts Python (porte dérobée RPivot) hébergés sur un lien SharePoint externe.
Le fichier JAR exécutait des commandes PowerShell pour télécharger un exécutable ProtonVPN légitime qui chargeait latéralement une DLL malveillante (nethost.dll).
La DLL crée un canal de communication crypté de commande et de contrôle (C2) avec des adresses IP externes, fournissant aux attaquants un accès à distance à l’ordinateur compromis.
L’attaquant a également exécuté Windows Management Instrumentation (WMIC) et whoami.exe pour vérifier les détails du système et déployé un malware Java de deuxième étape pour exécuter RPivot – un outil de test d’intrusion qui permet le tunneling proxy SOCKS4 pour l’envoi de commandes.
RPivot a été utilisé dans le passé dans des attaques de FIN7. De plus, les techniques d’obscurcissement utilisées ont également été précédemment observées dans les campagnes FIN7.
Cependant, comme le RPivot et le code de la méthode d’obscurcissement sont accessibles au public, Sophos ne peut pas connecter avec une grande confiance les attaques STAC5143 à l’activité de FIN7, d’autant plus que FIN7 est connu pour avoir vendu dans le passé ses outils à d’autres gangs cybercriminels.
« Sophos évalue avec une confiance moyenne que le malware Python utilisé dans cette attaque est connecté aux acteurs de la menace derrière FIN7/Sangria Tempest”, expliquent les chercheurs.
Parce que l’attaque a été stoppée avant d’atteindre la phase finale, les chercheurs pensent que l’objectif des pirates était de voler des données puis de déployer un ransomware.
La deuxième campagne provenait d’un groupe suivi sous le nom de « STAC5777 ». Ces attaques ont également commencé par un bombardement d’e-mails et ont été suivies de messages Microsoft Teams, prétendant provenir du service d’assistance informatique.
Dans ce cas cependant, la victime est amenée à installer Microsoft Quick Assist pour donner aux attaquants un accès pratique au clavier, qu’ils utilisaient pour télécharger des logiciels malveillants hébergés sur le stockage Blob Azure.
Le logiciel malveillant (winhttp.dll) est chargé latéralement dans un Microsoft OneDriveStandaloneUpdater légitime.processus exe, et une commande PowerShell crée un service qui le relance au démarrage du système.
La DLL malveillante enregistre les frappes au clavier de la victime via l’API Windows, récupère les informations d’identification stockées dans les fichiers et le registre, et analyse le réseau à la recherche de points de pivotement potentiels via SMB, RDP et WinRM.
Sophos a observé la tentative de STAC5777 de déployer le ransomware Black Basta sur le réseau, de sorte que l’auteur de la menace est probablement lié d’une manière ou d’une autre au tristement célèbre gang de ransomwares.
Les chercheurs ont observé l’auteur de la menace accéder au bloc-notes local et aux documents Word dont le nom de fichier contenait un « mot de passe ». Les pirates ont également accédé à deux fichiers de protocole de bureau à distance, recherchant probablement d’éventuels emplacements d’informations d’identification.
À mesure que ces tactiques deviennent de plus en plus répandues dans l’espace des ransomwares, les organisations doivent envisager d’empêcher les domaines externes d’initier des messages et des appels sur Microsoft Teams, et de désactiver Quick Assist sur les environnements critiques.