DarkGate 恶意软件正在通过微软群聊进行大肆传播
2024-2-1 11:5:25 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1706755150_65bb044e3c7c5bc8c2190.png!small

据AT&T Cybersecurity 的研究显示,有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件,从而在受害者系统中安装 DarkGate 恶意软件。

据统计,攻击者现已发送了 1000 多个恶意 Teams 群聊邀请。一旦目标对象接受聊天请求,攻击者会诱骗他们下载一个使用双扩展名的文件,文件名为 "Navigating Future Changes October 2023.pdf.msi",这是 DarkGate 常用的伎俩。

安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器,Palo Alto Networks 已确认该服务器是 DarkGate 恶意软件基础架构的一部分。

由于在默认情况下,微软允许外部 Microsoft Teams 用户向其他用户发送消息,这才给了这种类型的网络钓鱼攻击可乘之机。

AT&T Cybersecurity 网络安全工程师Peter Boyle认为:除非日常的必要业务需使用,否则他建议大多数公司禁用 Microsoft Teams 中的外部访问,因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样,很可能不是那种典型的电子邮件钓鱼诈骗形式。

1706758034_65bb0f9274efb4111f79a.png!small

网络钓鱼群聊  图片来源: AT&T 网络安全

Microsoft Teams 拥有数量庞大的 2.8 亿用户,是威胁行为者眼中的一块“肥肉”。DarkGate 操作员正是利用这一点,通过 Microsoft Teams 推送恶意软件。

去年也出现过类似的活动,恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。

Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络,还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输,攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷,

APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门,它利用这种方式攻击了全球数十个组织,包括政府机构。

DarkGate 恶意软件攻击激增

自去年 8 月 Qakbot 僵尸网络被捣毁后,网络犯罪分子更多地转向 DarkGate 恶意软件加载器,将其作为初始访问企业网络的首选。

而就在 Qakbot 僵尸网络被攻陷之前,有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称,它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。

在开发者发布消息后,就出现了越来越多的 DarkGate 攻击事件,网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。

参考来源:Microsoft Teams phishing pushes DarkGate malware via group chats (bleepingcomputer.com)


文章来源: https://www.freebuf.com/news/391138.html
如有侵权请联系:admin#unsafe.sh