MuddyWater использует Teams для кражи учетных данных – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

MuddyWater использует Microsoft Teams для кражи данных

Иранская кибершпионская группа MuddyWater использует Microsoft Teams для кражи учетных данных под прикрытием ложной атаки программы-вымогателя. Атака превращает легитимный инструмент для совместной работы в сложный вектор кибератак.

MuddyWater использует Microsoft Teams для кражи данных

Обзор события

Мир кибербезопасности был встревожен новой кампанией атак от MuddyWater (также известной как Seedworm или TEMP.Zagros), группы постоянных угроз повышенной сложности (APT), которую, как считается, поддерживает Иран. Группа разработала очень изощренный метод, нацеленный на Microsoft Teams, популярную платформу для совместной работы, используемую миллионами организаций по всему миру. Злоумышленники используют фишинговые атаки через Teams для кражи учетных данных пользователей, и чтобы скрыть эту основную цель, они применяют тактику "ложного флага", запуская атаку программы-вымогателя. Эта стратегия эффективно отвлекает команды по кибербезопасности, затрудняя обнаружение основной кражи данных.

Украденные данные и масштаб атаки

Основной целью этой атаки является не массовая утечка данных, а стратегическое получение ценных учетных данных. Цель MuddyWater — украсть имена пользователей, пароли, токены доступа и другую информацию для входа, которую можно использовать для проникновения в сети целевых организаций. Утечка данных может включать:

  • Учетные данные Active Directory: Это самые критически важные учетные записи в корпоративных сетях, которые могут предоставить злоумышленникам широкие полномочия.
  • Информация об учетных записях Microsoft 365/Azure: Предоставляет доступ к облачной инфраструктуре и конфиденциальным корпоративным данным.
  • Учетные данные для VPN и удаленного доступа: Позволяют злоумышленникам безопасно проникать в корпоративную сеть извне.
  • Учетные данные технического персонала и администраторов: Эти учетные записи с наивысшими привилегиями в сети являются самыми ценными целями для расширения масштабов атаки.

Атака нацелена на средние и крупные организации в определенных секторах, в частности в телекоммуникациях, правительственном секторе, технологиях и оборонной промышленности. Хотя жертвы географически разнообразны, прошлая деятельность MuddyWater указывает на фокус на целях на Ближнем Востоке, в Европе и Северной Америке.

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →

Технические аспекты атаки

Кампания MuddyWater следует многоуровневой и обманчивой стратегии. Цепочка атаки обычно состоит из следующих шагов:

1. Первоначальный доступ: Фишинг через Microsoft Teams

Злоумышленники используют Microsoft Teams, платформу с высоким уровнем доверия, в качестве точки входа. Обычно они отправляют вредоносный файл (часто ZIP-архив или исполняемый файл, замаскированный под PDF), который выглядит как проектный файл, счет-фактура или важный документ, с скомпрометированной учетной записи или поддельного профиля. Пользователи с большей вероятностью откроют этот файл, потому что доверяют сообщениям, поступающим из корпоративной среды, такой как Teams.

2. Исполнение вредоносного ПО

Когда пользователь открывает файл, на систему устанавливается троян удаленного доступа (RAT) или программа для кражи учетных данных (credential stealer). Это программное обеспечение работает в фоновом режиме, потенциально регистрируя нажатия клавиш (кейлоггер), похищая сохраненные в браузерах пароли или извлекая хеши паролей из механизмов хранения учетных данных Windows (таких как LSASS).

3. Эксфильтрация данных и боковое перемещение

После кражи учетных данных злоумышленники используют их для бокового перемещения внутри сети. Их цель — скомпрометировать учетные записи с более высокими привилегиями и получить доступ к критически важным серверам или базам данных. Украденные данные затем тайно отправляются на командно-контрольные (C2) серверы злоумышленников, часто через зашифрованные каналы.

4. Ложный флаг: Атака программы-вымогателя

После выполнения своей основной цели — шпионажа и кражи данных — MuddyWater развертывает программу-вымогатель для отвлечения внимания. Эта программа шифрует файлы в системе и оставляет записку с требованием выкупа. Это заставляет команду безопасности организации классифицировать инцидент как типичное киберпреступление. Пока все ресурсы сосредоточены на разрешении кризиса с программой-вымогателем, злоумышленники заметают следы, и фактическая кража данных может остаться незамеченной или быть обнаружена слишком поздно.

Кто является пострадавшими пользователями?

Непосредственно пострадавшими от этой атаки являются сотрудники целевых организаций. Основными целями являются сотрудники с привилегированными учетными записями, такие как ИТ-менеджеры, системные администраторы, высшее руководство и инженеры с доступом к конфиденциальным проектам. Однако, поскольку фишинговая атака может распространяться на более широкую группу сотрудников, любой пользователь Microsoft Teams в организации является потенциальной жертвой.

Что вам следует делать?

Как отдельным пользователям, так и организациям необходимо предпринимать проактивные шаги против таких сложных угроз:

  • Для пользователей: Будьте предельно скептичны к неожиданным файлам и ссылкам, полученным через Microsoft Teams или другие платформы для совместной работы. Включите многофакторную аутентификацию (MFA) для всех своих учетных записей. При обнаружении любой подозрительной активности немедленно сообщите об этом в свой отдел ИТ-безопасности. Также полезно регулярно проверять, не был ли ваш адрес электронной почты скомпрометирован в других инцидентах, используя надежный сервис Поиск утечки данных.
  • Для организаций: Проводите регулярные тренинги по кибербезопасности для сотрудников, посвященные фишинговым атакам на платформы, такие как Teams. Внедряйте строгие политики безопасности для обмена файлами в Microsoft Teams. Отслеживайте сетевой трафик на предмет аномальных исходящих потоков данных. Используйте решения EDR для обнаружения и блокировки подозрительных процессов. Обновите свой план реагирования на инциденты, чтобы он включал сценарии, в которых кажущаяся атака программы-вымогателя на самом деле может быть шпионской деятельностью APT-группы.

Заявление компании

Хотя Microsoft еще не сделала официального заявления по поводу этой конкретной кампании, компания постоянно заявляет, что работает над повышением безопасности платформы Teams. Компании по кибербезопасности внимательно следят за этой новой тактикой MuddyWater и публикуют отчеты с техническим анализом для информирования организаций. Для организаций крайне важно прислушиваться к предупреждениям от своих поставщиков услуг безопасности и официальных органов по кибербезопасности.

Kaynak

https://thehackernews.com/2026/05/muddywater-uses-microsoft-teams-to.html

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья Утечка данных Conduent затронула миллионы в Миссури Следующая статья → Почему Атаки Вымогателей Успешны Даже с Бэкапами

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.