Un malware ha sfruttato Microsoft Teams per auto-sabotaggio
Nel panorama in continua evoluzione delle minacce informatiche, è emersa una nuova variante del malware Matanbuchus, che rappresenta una preoccupazione significativa per le organizzazioni in tutto il mondo. Questo malware, sviluppato nel 2023 dal ricercatore Vitali Kremez, sfrutta i bug del software per consentire la consegna del malware da account esterni.
Gli operatori della variante 3.0 di Matanbuchus hanno dimostrato una chiara preferenza per l'utilizzo di Microsoft Teams per l'accesso iniziale. L'attacco inizia con una chiamata esterna su Microsoft Teams, in cui l'attaccante si spaccia per un legittimo servizio di assistenza IT e convince il bersaglio ad utilizzare Quick Assist. Una volta concesso l'accesso, il malware viene deployato, eseguendo comandi come CMD, PowerShell o vari payload come EXE, DLL, MSI e shellcode.
Matanbuchus 3.0 è un malware come servizio, originariamente prezzo $2,500. Opera come uno strumento sofisticato, esaminando i processi in esecuzione per identificare le applicazioni di sicurezza presenti sul sistema e adattando i suoi metodi di esecuzione in base allo stack di sicurezza della vittima. Il malware raccoglie dettagli come nome utente, dominio, informazioni sulla build del sistema operativo, processi EDR/AV in esecuzione e lo stato di elevazione del proprio processo.
I ricercatori hanno fornito un'analisi tecnica dettagliata di Matanbuchus, inclusi campioni di malware e i domini utilizzati dal malware. Hanno anche identificato gli indicatori di compromissione (IoCs) per aiutare le organizzazioni a rilevare e mitigare le infezioni potenziali.
Lo scorso anno, gli operatori del malware DarkGate hanno sfruttato Microsoft Teams, prendendo di mira gli utenti con impostazioni 'Accesso esterno' rilassate. Questo incidente sottolinea l'importanza di proteggere i conti di Microsoft Teams e di mantenere la vigilanza contro queste minacce.
Gli attaccanti typically infiltrano le chat e convincono gli utenti a scaricare un file dannoso che deploya il payload iniziale sul sistema. Una volta all'interno, il malware utilizza la funzione 'MurmurHash3' non crittografica per offuscare le azioni che gli strumenti di sicurezza monitorano regolarmente. Ha anche caratteristiche di evasione, offuscamento e capacità post-compromesso migliorate.
In modo particolare, Matanbuchus 3.0 introduce numerosi miglioramenti, tra cui un cambio nella comunicazione di command-and-control (C2) e l'offuscamento delle stringhe da RC4 a Salsa20. Utilizza anche syscalls tramite shellcode personalizzato per bypassare i wrapper API convenzionali e i hook EDR.
L'analista delle minacce Brad Duncan ha segnalato l'implicazione di Matanbuchus nel consegnare i beacon di Cobalt Strike nel giugno 2022, suggerendo una portata più ampia delle capacità del malware e il potenziale per attacchi più sofisticati in futuro.
Nel 2024, le piattaforme DevOps hanno subito migliaia di ore di downtime, anche se questo fatto non è direttamente correlato al malware Matanbuchus, serve come promemoria dell'impatto che le minacce informatiche possono avere su vari aspetti delle nostre infrastrutture digitali.
Microsoft Teams è stato utilizzato dagli attaccanti per violare le organizzazioni negli anni, sottolineando la necessità di una vigilanza continua e di misure di sicurezza robuste. Le organizzazioni sono
Leggi anche:
- L' IAA in difficoltà cerca clienti in tempi difficili
- Vietnam co-capogruppo della risoluzione dell'Assemblea generale delle Nazioni Unite su un vertice di emergenza sulla preparazione alle pandemie
- Iniziativa: Capilene 4 Pro con cerniera da Patagonia
- "Masterizzare l'arte di mescolare il suono è quasi uguale all'importanza di ideare il tuo concetto musicale iniziale: guida per principianti nel mixaggio musicale"
