Sophos MDR intercetta due campagne di ransomware che utilizzano l”email bombing” e il “vishing” di Microsoft Teams

Sophos MDR ha inoltre identificato un nuovo cluster di minacce che si rifà allo schema di Storm-1811 e un'attività più intensa di quella originale collegata al ransomware Black Basta

Security Operations Threat Research Black Basta featured Fin7 Java malware legitimate service abuse Microsoft Office 365 python malware Quick Assist remote machine management STAC5143 stac5777 Teams

Il Managed Detection and Response (MDR) di Sophos X-Ops sta rispondendo attivamente a due gruppi distinti di aggressori che hanno utilizzato le funzionalità della piattaforma Office 365 di Microsoft per accedere a organizzazioni mirate con il probabile obiettivo di rubare dati e distribuire ransomware.

Sophos MDR ha iniziato a indagare su queste due attività diverse in risposta agli incidenti verificatisi presso i clienti nei mesi di novembre e dicembre 2024. Sophos sta monitorando queste minacce con i codici STAC5143 e STAC5777. Entrambi gli aggressori hanno gestito i propri tenant di servizi Microsoft Office 365 come parte dei loro attacchi e hanno sfruttato una configurazione predefinita di Microsoft Teams che permette agli utenti di domini esterni di avviare chat o riunioni con utenti interni.

STAC5777 si sovrappone a un gruppo di minacce precedentemente identificato da Microsoft come Storm-1811. STAC5143 è un cluster di minacce non segnalato in precedenza che copia il playbook di Storm-1811 e che presenta possibili collegamenti all’aggressore noto come FIN7, Sangria Tempest o Carbon Spider.

Pubblichiamo questo report approfondito su entrambi i cluster di minacce per aiutare gli amministratori di sistema a rilevare e bloccare queste minacce continue e per sensibilizzare le organizzazioni che utilizzano la piattaforma Office 365 sulla diffusione di queste tattiche. Negli ultimi tre mesi, Sophos MDR ha osservato più di 15 incidenti che coinvolgono queste tattiche, la metà dei quali si sono verificati nelle ultime due settimane.

Le tattiche più comuni includono:

-Email-bombing: invio mirato di grandi quantità di messaggi di posta elettronica spam (fino a 3.000 in meno di un’ora) per sovraccaricare le caselle di posta elettronica di Outlook di alcuni individui all’interno dell’organizzazione e creare un senso di urgenza;
Invio di messaggi Teams ed effettuazione di chiamate vocali e video Teams da un’istanza di Office 365 controllata dall’aggressore a dipendenti mirati, spacciandosi per un servizio di assistenza tecnica dell’organizzazione.
Si utilizzano gli strumenti di controllo remoto di Microsoft, sia Quick Assist che la condivisione dello schermo di Teams, per prendere il controllo del computer della vittima e installare malware.

L'autore

Mark Parsons

Mark Parsons is a threat hunter for Sophos Managed Detection and Response. He specializes in threat hunting, digital forensics, and incident response. Previous notable achievements include identifying multi-month nation state intrusions; working with multiple states’ cybersecurity programs before, during, and after the 2020 election cycle to improve their detection and response capabilities; finding rarely seen (second reporter) bugs in Microsoft Azure/CAP logs; and identifying multiple initial access brokers prior to their targets’ being compromised by second actors.

Colin Cowie

Colin is a Threat Intelligence Analyst for the Sophos Managed Detection and Response (MDR) team, focusing on threat actor identification, incident response and working alongside detection engineers to address emerging threats. In past roles he worked in the financial sector performing internal and external penetration testing.

Daniel Souter

Daniel Souter is an Incident Response Lead for Sophos. He has investigated over 300 incidents for Sophos' MDR customer base and loves to investigate initial access vectors. Before joining Sophos he wore many hats as a sysadmin and network engineer within multiple organizations. Daniel currently holds multiple cybersecurity certifications, including GCFA and OSCP. In his spare time he loves spending time with his family.

Hunter Neal

Hunter Neal is a Senior Incident Response Lead for Sophos MDR. Prior to joining Sophos, he was a system administrator for Textron Aviation. Hunter's cybersecurity journey began in college, at The Pennsylvania State University, where he holds a Bachelor's degree in both Information Systems and Cybersecurity, as well as a GCFE certification. In his spare time he enjoys Disc Golf, lifting weights, toying with his cars, and video games.

Anthony Bradshaw

Anthony is responsible for the global MDR incident response team at Sophos. He leads a team of highly skilled incident responders who investigate, contain, and neutralize attacks. Anthony has a decade of experience in IT and cybersecurity, and holds multiple industry certifications including GSOM, GCFE, and CySA+.