Sophos MDR intercetta due campagne di ransomware che utilizzano l”email bombing” e il “vishing” di Microsoft Teams

Il Managed Detection and Response (MDR) di Sophos X-Ops sta rispondendo attivamente a due gruppi distinti di aggressori che hanno utilizzato le funzionalità della piattaforma Office 365 di Microsoft per accedere a organizzazioni mirate con il probabile obiettivo di rubare dati e distribuire ransomware.

Sophos MDR ha iniziato a indagare su queste due attività diverse in risposta agli incidenti verificatisi presso i clienti nei mesi di novembre e dicembre 2024. Sophos sta monitorando queste minacce con i codici STAC5143 e STAC5777. Entrambi gli aggressori hanno gestito i propri tenant di servizi Microsoft Office 365 come parte dei loro attacchi e hanno sfruttato una configurazione predefinita di Microsoft Teams che permette agli utenti di domini esterni di avviare chat o riunioni con utenti interni.

STAC5777 si sovrappone a un gruppo di minacce precedentemente identificato da Microsoft come Storm-1811. STAC5143 è un cluster di minacce non segnalato in precedenza che copia il playbook di Storm-1811 e che presenta possibili collegamenti all’aggressore noto come FIN7, Sangria Tempest o Carbon Spider.

Pubblichiamo questo report approfondito su entrambi i cluster di minacce per aiutare gli amministratori di sistema a rilevare e bloccare queste minacce continue e per sensibilizzare le organizzazioni che utilizzano la piattaforma Office 365 sulla diffusione di queste tattiche. Negli ultimi tre mesi, Sophos MDR ha osservato più di 15 incidenti che coinvolgono queste tattiche, la metà dei quali si sono verificati nelle ultime due settimane.

Le tattiche più comuni includono:

• -Email-bombing: invio mirato di grandi quantità di messaggi di posta elettronica spam (fino a 3.000 in meno di un’ora) per sovraccaricare le caselle di posta elettronica di Outlook di alcuni individui all’interno dell’organizzazione e creare un senso di urgenza;
• Invio di messaggi Teams ed effettuazione di chiamate vocali e video Teams da un’istanza di Office 365 controllata dall’aggressore a dipendenti mirati, spacciandosi per un servizio di assistenza tecnica dell’organizzazione.
• Si utilizzano gli strumenti di controllo remoto di Microsoft, sia Quick Assist che la condivisione dello schermo di Teams, per prendere il controllo del computer della vittima e installare malware.