Sophos X-Ops 研究團隊發現STAC5143與社交工程威脅行為聞名的Storm-1811 有關,另一個STAC5777威脅攻擊行為者牽涉到俄羅斯網路犯罪組織 Fin7。
Sophos X-Ops 研究團隊於今年1月下旬發表,發現兩起威脅攻擊行為的行動,分別由 STAC5143 和 STAC5777 進行不同的威脅攻擊且濫用 Microsoft Office 365 平台及 Quick Assist 等遠端管理工具。研究顯示過去三個月期間,觀察超過 15 起類似的事件,有一半頻繁發生於過去的兩週內,明顯表示這兩起威脅攻擊者的行動,處於高度活躍狀態,並以竊取企業的資料和部署勒索軟體為目的。
研究團隊發現這兩個威脅行為者採用共同的策略,其中包括電子郵件炸彈 (Email bomb)、語音釣魚 (Vishing,結合語音和網路釣魚,社交工程詐騙的手段之一) 和使用微軟遠端控制工具。威脅行為者的攻擊過程,如下:
- 鎖定使用 Microsoft Teams 的企業中少數幾位特定員工作為攻擊目標 。
- 在極短的時間內向這些員工發送成千上萬封垃圾郵件 : 其中一起案例中在不到一小時內發送了超過 3,000 封郵件 。(電子郵件炸彈手法)
- 透過 Microsoft Teams 的語音和視訊通話進一步聯繫,聲稱要協助解決垃圾郵件問題 。
- 利用「快速助手」(Quick Assist) 或 Microsoft Teams 的螢幕共享功能控制目標員工的電腦,並部署勒索軟體。
Sophos X-Ops 研究團隊表示,發佈此項研究目的是協助企業防禦這一波活躍的攻擊行動,並提高對其影響日益增加的認識。 同時也給予些建議做為遇到類似事件時的防護因應。
- 企業使用 Microsoft 365 能提高警惕,並且檢查企業內的設定。
- 企業盡可能阻止外部帳戶訊息,並封鎖不經常使用的遠端存取工具和遠端機器管理工具。
- 監控潛在的惡意程式流量的來源。
- 強化與更新企業內員工的資安意識,其中包括電子郵件炸彈 (Email bomb)和語音釣魚 (Vishing)。
Sophos X-Ops完整報告,歡迎閱讀:https://reurl.cc/DK7Qb6