Microsoft威胁情报团队发布了一份新报告，重点介绍了其追踪的臭名昭著的、出于经济动机的威胁参与者Storm-0324（TA543和Sagrid）的活动。自2019年以来，该组织一直在促进勒索软件部署，并允许其他威胁参与者访问受感染的网络/设备。

然而，自2023年7月以来，它一直在利用开源工具的MS Teams聊天来分发有效负载并发送网络钓鱼诱饵，以促进特定网络犯罪组织Sangria Tempest（又名 Elbrus、Carbon Spider和FIN7）。

值得注意的是，该活动与2023年5月发现的午夜暴雪社交工程活动无关，该活动也涉及利用MS Teams。

该组织的攻击链从引用付款/发票的网络钓鱼电子邮件开始，其中包含指向托管ZIP存档的SharePoint网站的链接。该存档包含一个JavaScript代码嵌入文件。事实上，该组织使用了多个不同的文件来托管此代码，例如Ekipa和WSF发布者文件。为此，它利用了CVE-2023-21715本地安全功能绕过漏洞。该代码启动后会释放JSSLoader变体DLL和其他Sangria Tempest工具。

研究人员还观察到Storm-0324使用受保护的文档来执行扩展的社会工程。而且，它在利用诱饵文档与用户进行初始通信时添加了安全码/密码，为用户创建信任感并避免分析机制。

自2023年7月以来，Storm-0324一直在利用MS Teams聊天发送带有指向SharePoint托管文件的恶意链接的网络钓鱼诱饵。该组织依赖于TeamPhisher，这是一个基于Python的开源程序，允许Teams租户用户将文件附加到发送给外部租户的消息中。这些网络钓鱼诱饵被Teams平台识别为外部用户。

Storm-0324使用漏洞利用工具包或网络钓鱼向量为其他攻击者的有效负载提供分发服务，并主要关注高度规避的感染链。该攻击者通常会分发JSSLoader恶意软件，鼓励RaaS（勒索软件即服务）攻击者Sangria Tempest获得初始访问权限。此前，Storm-0324曾使用过Gozi infostealer和Nymaim下载器/储物柜、GrandCrab勒索软件、IcedID infostealer、Gookit和Dridex银行木马以及Sage勒索软件。

“Sorm-0324管理恶意软件分发链，并使用漏洞利用工具包和基于电子邮件的向量来传递恶意软件有效负载。攻击者的电子邮件链非常隐蔽，利用BlackTDS和Keitaro等流量分配系统(TDS)，这些系统提供识别和过滤功能来定制用户流量。”微软关于Storm-0324勒索软件分发策略的博客文章中写道。

Storm-0324的电子邮件主题使用付款/发票诱饵，模仿Quickbooks、DocuSign等合法服务。该组织使用不同的文件格式来启动恶意JavaScript代码，包括Windows脚本文件、Microsoft Office文档和VBScript。

微软已暂停所有与此“欺诈行为”相关或被利用的已识别帐户和租户。

My1Login首席执行官Mike Newman对此消息进行了反思，表示这似乎是一个复杂的网络钓鱼骗局，可能会导致许多受害者，因为他们不会怀疑通过MS Teams平台发送的消息。

“这是一个复杂的网络钓鱼骗局，很多受害者都会被骗，因为他们不会意识到犯罪分子可以劫持Microsoft Teams来实施攻击。“人们了解犯罪分子可以用来通过电子邮件发送网络钓鱼诈骗的技术，但由于Teams被视为内部通信平台，员工对该工具更加信任，并且更有可能打开并执行在聊天中收到的文档。”

纽曼强调，组织应该教育员工如何检测网络钓鱼诱惑，避免通过点击可疑链接来共享敏感数据，以及实施先进的身份管理解决方案以提高数据安全性和运营效率。

MS Teams过去曾因成为恶意活动的主要目标而成为头条新闻。早在2020年4月，Cyber​​Ark的研究人员就在MS Teams中检测到了一个类似蠕虫的漏洞，他们怀疑只需向Teams用户发送恶意GIF或链接，就可以利用该漏洞劫持组织的整个Teams帐户。

有关 Teams被利用的消息开始大量涌现。2022年2月，云电子邮件安全解决方案提供商Avanan报告称 ，发现了一项针对Teams用户的恶意软件攻击活动，该活动利用Teams的聊天功能，并在聊天线程中附加恶意文档，点击这些文档就会投放木马。