Фишинг преку Microsoft Teams ги таргетира вработените со малверот A0Backdoor

Хакери контактирале вработени во финансиски и здравствени организации преку Microsoft Teams за да ги измамат да им дадат далечински пристап преку Quick Assist и да инсталираат нов малвер наречен A0Backdoor.

Напаѓачот користи social engineering за да ја добие довербата на вработениот. Прво ја преплавува неговата e-mail пошта со spam пораки, а потоа го контактира преку Teams, претставувајќи се како IT поддршка од компанијата, нудејќи помош за несаканите пораки.

За да добие пристап до компјутерот на жртвата, напаѓачот му кажува на корисникот да започне Quick Assist remote сесија, која потоа се користи за инсталирање на злонамерен сет на алатки што вклучува дигитално потпишани MSI инсталери, хостирани на лична cloud сметка на Microsoft.

Според истражувачите од компанијата за сајбер-безбедност BlueVoyant, злонамерните MSI датотеки се претставуваат како компоненти на Microsoft Teams и CrossDeviceService, легитимна Windows алатка која ја користи апликацијата Phone Link.

Користејќи ја техниката DLL sideloading со легитимни Microsoft бинарни датотеки, напаѓачот инсталира злонамерна библиотека (hostfxr.dll) која содржи компресирани или енкриптирани податоци. Откако библиотеката ќе се вчита во меморијата, таа ги дешифрира податоците во shellcode и ја пренесува извршувачката контрола на него.

Истражувачите велат дека злонамерната библиотека ја користи и функцијата CreateThread за да го отежне анализирањето. Компанијата BlueVoyant објаснува дека прекумерното креирање threads може да предизвика debugger-от да се урне, но во нормални услови на извршување тоа нема значително влијание.

Shellcode-от потоа врши детекција на sandbox средина, а потоа генерира клуч добиен од SHA-256, кој се користи за извлекување на A0Backdoor. Овој малвер е енкриптиран со AES алгоритам.

Малверот се преместува во нов регион на меморијата, ги дешифрира своите главни функции, и користи повици кон Windows API (на пример: DeviceIoControl, GetUserNameExW, и GetComputerNameW) за да собере информации за системот и да направи fingerprint на компјутерот.

Комуникацијата со C2 (command-and-control) серверот е скриена во DNS сообраќајот. Малверот испраќа DNS MX барања во кои метаподатоците се кодирани во subdomain-и со висок ентрописки карактер и се испраќаат кон јавни recursive DNS resolvers.

DNS серверите потоа враќаат MX записи кои содржат кодирани командни податоци.

„Малверот ја извлекува и ја декодира најлевата ознака (label) од доменот за да ги добие командите или конфигурациските податоци, а потоа постапува според нив,“ објаснува компанијата BlueVoyant.

„Користењето DNS MX записи му помага на сообраќајот да изгледа легитимно и може да ги избегне безбедносните механизми кои се подесени да детектираат DNS tunneling преку TXT записи, бидејќи тие почесто се следат.“

Според BlueVoyant, две од целите на оваа кампања се:

• финансиска институција во Canada
• глобална здравствена организација

Истражувачите проценуваат со средно до високо ниво на сигурност дека оваа кампања претставува еволуција на тактиките, техниките и процедурите (TTPs) поврзани со BlackBasta ransomware group, група за ransomware која се распаднала откако внатрешните чат логови на операцијата протекле во јавноста.

Иако постојат многу сличности со претходните напади, BlueVoyant нагласува дека неколку елементи се нови, како што се:

• користење дигитално потпишани MSI инсталери
• употреба на злонамерни DLL библиотеки
• новиот A0Backdoor payload
• C2 комуникација преку DNS MX записи.

Извори:

• Bleeping Computer – Microsoft Teams phishing targets employees with A0Backdoor malware Bleeping Computer