Cercetătorii în securitate au identificat o nouă campanie a actorilor de amenințări nord-coreeni care utilizează domenii false Microsoft Teams pentru a distribui malware și a fura acreditări de la profesioniști din domeniul financiar, tehnologic și de consultanță. Operațiunea, atribuită grupului de amenințări UNC1069, a fost semnalată pe 5 aprilie de către Security Alliance, care a observat un domeniu fraudulos conceput să imite linkurile de întâlniri Teams implementat pe 6 aprilie.
Cum funcționează atacul
Cercetătorii de la Security Alliance au identificat un domeniu malițios recent înregistrat, onlivemeet[.]com, creat pentru a imita invitațiile legitime la întâlniri Microsoft Teams. Conform UC Today, atacatorii reactivează conversații vechi din conturile compromise de Telegram și LinkedIn pentru ca mesajele să pară familiare destinatarilor și se dau drept parteneri, investitori sau recrutori prin canale false sau imitate pe Slack.
Victimele care dau clic pe linkurile către întâlniri sunt redirecționate către o replică convingătoare a interfeței Teams. Pagina falsă pretinde că „TeamsFx SDK” a fost depreciat și necesită o actualizare imediată. Cei care descarcă presupusa remediere instalează în schimb un Remote Access Trojan, oferind atacatorilor acces persistent la sisteme și date sensibile. Atacatorii folosesc, de asemenea, instrumente legitime de programare precum Calendly pentru a aranja întâlniri, conferind credibilitate demersurilor lor.
Un tipar al atacurilor asupra lanțului de aprovizionare și prin inginerie socială
Campania se înscrie într-un tipar mai larg al operațiunilor cibernetice nord-coreene. Grupul de Informații privind Amenințările Google a atribuit clusterului UNC1069 un compromis al lanțului de aprovizionare din 31 martie care a vizat pachetul npm Axios, utilizat pe scară largă. În acel atac, versiuni compromise ale Axios au introdus o dependență malițioasă care a livrat backdoor-ul WAVESHAPER.V2 pe sisteme Windows, macOS și Linux prin intermediul unui hook automat de post-instalare.
“Hackerii nord-coreeni au o experiență vastă în atacurile asupra lanțului de aprovizionare, pe care le-au folosit istoric pentru a fura criptomonede”, a declarat John Hultquist, analist-șef la Google Threat Intelligence Group, într-o declarație pentru The Hacker News. “Amploarea totală a acestui incident este încă neclară, dar având în vedere popularitatea pachetului compromis, ne așteptăm ca acesta să aibă un impact de proporții”.
Sofisticare în escaladare
Microsoft a avertizat într-un raport din martie că grupurile de amenințări nord-coreene urmărite sub numele Jasper Sleet și Coral Sleet utilizează din ce în ce mai mult inteligența artificială generativă pentru a crea momeală de phishing, a fabrica identități profesionale și a automatiza activități post-compromitere. Campania cu domenii false Teams reprezintă încă o evoluție în arsenalul de inginerie socială al acestor grupuri, depășind interviurile false de job și apelurile Zoom pentru a exploata aspectul de încredere al instrumentelor de colaborare profesională cu care angajații interacționează zilnic.
Organizațiilor li se recomandă să implementeze filtrarea URL-urilor, să consolideze protocoalele de autentificare a e-mailurilor și să desfășoare training-uri regulate de conștientizare pentru a-i ajuta pe angajați să recunoască invitațiile și comunicările neobișnuite.
Surse:
https://thehackernews.com/2026/04/google-attributes-axios-npm-supply.html
Microsoft Teams Users Being Targeted in State-Linked Phishing Campaign