Хакеры используют Microsoft Teams для удаленного доступа к системе

Хакеры воспользовались платформой Microsoft Teams, чтобы убедить жертву предоставить удаленный доступ к своей системе. Эта атака, проанализированная компанией Trend Micro, демонстрирует растущую сложность методов социальной инженерии, используемых киберпреступниками.

Атака проходила в несколько этапов:

1. Массовая рассылка фишинговых писем: Жертва сначала получила множество фишинговых писем на свою электронную почту.
2. Звонок через Microsoft Teams: Затем злоумышленник позвонил через Microsoft Teams, представившись сотрудником надежного клиента.
3. Установка программы для удаленной помощи: Во время звонка жертву убедили установить программу удаленной помощи, сначала предложив Microsoft Remote Support. Когда установка из Microsoft Store не удалась, злоумышленник переключился на AnyDesk, легитимный инструмент для удаленного доступа, который часто используется киберпреступниками.

После установки AnyDesk злоумышленник получил полный доступ к компьютеру жертвы и загрузил несколько вредоносных файлов, включая троян Trojan.AutoIt.DARKGATE.D.

Распространение вредоносного ПО: Это ПО распространялось с использованием скрипта AutoIt. Скрипт обеспечивал удалённое управление системой, выполнение вредоносных команд и подключение к серверу управления и контроля (C2).

Сбор системной информации:
Злоумышленник, используя AnyDesk, выполнил команды для сбора информации о системе и сети:

• systeminfo: для получения общей информации о системе.
• route print: для анализа маршрутов сети.
• ipconfig /all: для проверки IP-адресов и настроек сети.

Собранные данные были сохранены в файл 123.txt, предположительно для дальнейшей разведки.

Избежание обнаружения:

• Скрипты AutoIt определяли антивирусное программное обеспечение в системе и обходили его.
• Вредоносные файлы загружались и извлекались в скрытые каталоги.

Ещё один вредоносный файл, SystemCert.exe, создавал дополнительные скрипты и исполняемые файлы во временных папках. Эти файлы использовались для подключения к серверу C2 и загрузки новых вредоносных компонентов.

К счастью, в ходе этой атаки не было украдено никаких данных. Однако на компьютере жертвы остались вредоносные файлы и записи в реестре. Этот случай подчёркивает важность обеспечения надёжной защиты системы.

Как защититься от подобных атак?

1. Проверяйте запросы от третьих лиц: Убедитесь в надёжности технической поддержки перед тем, как предоставлять доступ.
2. Контролируйте инструменты удалённого доступа: Разрешайте использование только проверенных программ (например, AnyDesk) и внедряйте многофакторную аутентификацию (MFA).
3. Обучайте сотрудников: Рассказывайте сотрудникам о методах социальной инженерии, таких как фишинг и вишинг (голосовой фишинг), чтобы снизить их уязвимость.

Хакеры активно используют доверие и легитимные платформы, такие как Microsoft Teams, для реализации своих атак. Поэтому важно сохранять бдительность и применять проактивные меры безопасности для предотвращения подобных угроз.

Начните защищать свою систему уже сегодня и обеспечьте готовность ваших сотрудников к борьбе с такими угрозами!