俄罗斯网络犯罪分子正在采用一种诈骗手段,他们假扮成微软团队的技术支持,说服受害者他们有 IT 问题,然后诱骗员工允许他们在目标计算机网络上安装勒索软件。

英国网络安全公司 Sophos 于周四报告称,他们发现了超过 15 起事件,其中两个不同的团体利用微软 Office 365 的默认服务设置,通过社会工程学手段进入受害者的系统。
公司报告发现,其中一名攻击者与名为 Storm-1811 的团体存在重叠,该团体此前已被微软识别为进行此类诈骗。另一组似乎在模仿 Storm-1811 的操作手册,可能与追踪为 FIN7 的网络犯罪团伙有关联。
肖恩·加拉格尔,Sophos X-Ops 的首席威胁研究员,在接受《记录未来新闻》采访时表示,在团队“研究一些 BeaverTail 案例,一些与朝鲜有关的实际国家行为”之后,发现了这些新的活动。
海狸尾是一种被与朝鲜有关的黑客使用的恶意软件,威胁行为者在求职平台上假装成招聘人员,在诱使受害者下载恶意软件之前,通常是为了耗尽与他们的设备相关的任何加密货币钱包。
“从我第一眼看到这份报告开始,我就说‘不,这完全是不同的事情’,”加拉格尔说,他指出其中有许多细节与朝鲜的行事风格不符,包括受害者情况和部署的恶意软件类型。
“一位客户有两个员工在很短的时间内收到了大量电子邮件。[其中一位]在家工作,那天是美国大选日,他们突然收到了这些邮件,然后有人打电话给他们,自称是他们的帮助台经理。就是这样开始的,”加勒格尔说。
“两个威胁行为者在其攻击中各自运营了 Microsoft Office 365 服务租户,并利用了允许外部域用户与内部用户发起聊天或会议的默认 Microsoft Teams 配置,”Sophos 报告解释道。
在一些情况下,团队之间的沟通是语音通话,“在其他情况下则是视频通话,”加勒格尔说,但受害者本身并没有特别关注来电者是谁或来自哪里,大多数情况下都认为这些电话来自合法的外包支持提供商。
“你知道,当你半小时内要处理 3000 封邮件时,尤其是那些外包了 IT 支持的组织,他们不会注意自己在和谁交流,他们想‘哦,这很合理,这是我的外包 IT’,对吧?所以我们没有收到任何艺术家的草图!”
与这些社会工程学方法并行,假冒的客服人员还在 Teams 聊天功能中发送短信,通常包括链接,一旦诱骗受害者提供远程控制权限,对手就会使用这些链接——通常使用微软自己的工具,要么是 QuickAssist(用于 Storm-1811 团伙),要么直接通过 Teams 屏幕共享(用于与 FIN7 有链接的团体)。
“我们从微软 Office 365 集成中没有收集到关于威胁行为者的太多细节,”加勒格尔说。“我们得到了账户名称,也获得了远程 IP 地址。远程 IP 地址位于俄罗斯。”
在超过 15 起事件中,Gallagher 表示 Sophos 能够保护其中大多数:“有一起事件不是我们的管理检测响应客户,而只是一个 Sophos 端点客户,他遭遇了数据泄露,但勒索软件并未执行。”
在美國選舉日案件過程中,在偽裝的支援人員指導員工進行遠程屏幕控制會話後,攻擊者利用此會話打開命令殼,下載文件並執行惡意軟件,其中文件包括一個 Java 存檔(JAR)和一個包含 Python 代碼的.zip 存檔,該代碼使用了之前在 FIN7 所見過的混淆方法。
Sophos 提醒,然而,这种混淆方法本身基于公开可用的代码,并且已知 FIN7 曾向其他网络犯罪分子出售工具。
在另一组行动中,黑客在虚假支持聊天中采取了不同的操作方式,一旦他们获得了受害者的设备访问权限,就更多地依赖于黑客直接发起的“手动键盘”操作和脚本命令,这与微软在报道 Storm-1811 时描述的情况更为直接地重叠。
Sophos 表示,“除非绝对必要,组织应确保其 Office 365 服务条款限制来自外部组织的 Teams 通话,或者将此功能限制在可信赖的商业伙伴范围内”,以及通过政策限制远程访问应用程序。