Иранская группировка MuddyWater связана с новой кампанией кибератак, использующей Microsoft Teams в качестве вектора проникновения. Злоумышленники выдают себя за сотрудников технической поддержки Microsoft, чтобы связаться со своими жертвами, запрашивая удаленный доступ или установку вредоносного программного обеспечения. Попав внутрь, они похищают учетные данные и конфиденциальные данные, а также развертывают поддельное ransomware для отвлечения внимания.
Техника подмены и инструменты удаленного доступа 🛠️
Злоумышленники начинают разговор в Teams, имитируя сотрудников технической поддержки, ссылаясь на срочные проблемы с безопасностью. Под этим предлогом они просят жертву установить легитимные инструменты, такие как ScreenConnect или AnyDesk. Получив удаленный контроль, злоумышленники извлекают учетные данные, хранящиеся в системе, и данные корпоративных приложений. Наконец, они развертывают ransomware, которое не шифрует файлы, а лишь имитирует атаку, чтобы скрыть реальную кражу информации.
Поддельное ransomware: классика, чтобы свалить вину на другого 😅
Самое замечательное, что после кражи ваших учетных данных и информации злоумышленники любезно оставляют поддельное ransomware, чтобы вы думали, что это была обычная атака, а не целенаправленное вторжение. Это как если бы вор забрался в ваш дом, унес сейф, а перед уходом оставил записку: это сделал сосед. Хорошо, что они хотя бы потрудились имитировать шифрование, хотя ваши файлы остались нетронутыми, а ваша учетная запись Teams уже продается в даркнете.