- Имаше съобщение относно кибератаките срещу Microsoft Teams, насочени към корпоративни потребители.
- За достъп до платформата Teams нападателят изисква валидни идентификационни данни от един от служителите на целевото лице.
- Поради това потребителите трябва да гарантират, че техните имейл идентификационни данни се съхраняват в безопасност и сигурност.
В миналото злонамерените имейли бяха често срещан начин за хакерите да заразят корпоративните мрежи със злонамерен софтуер. Днес все повече компании използват инструменти за сътрудничество като Microsoft Teams за вътрешна комуникация.
Освен това тези инструменти все по-често се използват от компаниите за дистанционна работа по време на пандемията от COVID-19.
Сега нападателите са разпознали потенциала на този инструмент (и други) и го използват за разпространение на зловреден софтуер. Тъй като служителите рядко очакват да бъдат насочени чрез тези канали, те са склонни да бъдат по-малко предпазливи от обикновено, което ги прави лесни мишени.
Тази публикация в блога описва как нападателите използват тези уязвимости и какво могат да направят потребителите, за да защитят себе си и своите организации срещу такива атаки.
Как атакуват
Microsoft Teams, платформа за сътрудничество, включена в Microsoft 365 семейство продукти, позволява на потребителите да провеждат аудио и видео конференции, да чатят в множество канали и да споделят файлове.
Много компании по света са приели използването на Microsoft Teams като основен инструмент за своето дистанционно сътрудничество със служители по време на тази пандемия.
Няма известни уязвимости в чата на канала, които биха могли да бъдат използвани за инжектиране на зловреден софтуер в системата на потребителя. Съществува обаче съществуващ метод, който може да се използва за злонамерени цели.
Microsoft Teams позволява споделяне на файлове, стига размерът на файла да не надвишава 100 MB. Нападателят може да качи всеки файл на всеки публичен канал в Microsoft Teams и всеки, който има достъп до канала, ще може да го изтегли.
От кибер защита От гледна точка, звучи като златна мина: От всеки един екипен канал можете да получите достъп до всички разговори и информация, включително чувствителна информация или интелектуална собственост.
Тъй като Teams ви позволява да получите достъп до всички разговори в различни канали, които може да съдържат много чувствителна информация или интелектуална собственост. Също така може да съдържа чувствителни файлове, споделени между неговите потребители.
И все пак финансово мотивираните киберпрестъпници също могат да се възползват от Teams, тъй като може да са в състояние да хванат интересни данни в Teams, което може да им позволи да извършват повече измами, като например получаване на информация за кредитна карта например.
Твърди се, че нападателите започват с насочени фишинг имейли, които съдържат злонамерени връзки. Ако върху тях щракнат от членове на организации, които използват.
Когато нападател се опитва да получи достъп до системата за планиране на корпоративните ресурси на компанията, единственото нещо, което е необходимо за достъп, са валидни идентификационни данни за един от служителите. Често срещан начин за получаване на такива идентификационни данни е чрез провеждане на фишинг кампания на потребители, които са в целевата организация.
След като нападателят получи достъп до имейл акаунта на жертвата, той може да влезе чрез Microsoft Teams и след това да използва функцията, която позволява на потребителите да импортират документи от други източници.
След това нападателят може да качи HTML документ, който съдържа злонамерен JavaScript и да го свърже с друг документ, който ще се изпълнява, когато бъде отворен от други служители, които имат достъп до него.
Атаките могат да се извършват и срещу потребители чрез закупуване на валидни идентификационни данни от брокер за първоначален достъп или чрез социално инженерство.
Потребители, заразени чрез Teams
Нападателят има директен достъп до всички поверителни комуникационни канали между служители, клиенти и партньори. В допълнение, нападателите също могат да четат и манипулират частни чатове.
Атаките идват под формата на злонамерени имейли, които съдържат изображение на документ фактура. Това изображение съдържа злонамерено създадена хипервръзка, която е невидима с просто око, но е активна при щракване.
Microsoft Teams е виждал хиляди атаки от време на време. Нападателят пуска изпълними злонамерени файлове в различни разговори на Teams. Тези файлове са троянски коне и могат да бъдат много злонамерени за компютърните системи.
След като файлът е инсталиран на вашия компютър, компютърът може да бъде отвлечен, за да прави неща, които не сте възнамерявали да прави.
Не знаем каква е крайната цел на нападателите. Можем само да подозираме, че искат да получат повече информация за своята цел или пълен достъп до компютрите в целевата мрежа.
Това знание може да им даде способността да извършат някаква финансова измама или кибершпионаж.
Няма откриване на връзка
Какво прави Microsoft Teams е уязвим е, че инфраструктурата му не е изградена с оглед на сигурността. Като такъв, той няма система за откриване на злонамерени връзки и има само общ механизъм за откриване на вируси.
Тъй като потребителите са склонни да се доверяват на платформата, която техните компании предоставят, те могат да бъдат уязвими за споделяне на зловреден софтуер и заразяване.
Изненадващо ниво на доверие кара потребителите да се чувстват сигурни при използването на нова платформа. Потребителите могат да бъдат много по-щедри с данните си, отколкото обикновено.
Нападателите могат не само да измамят хората, като заразят файлове или връзки в чат канали, но също така могат да изпращат лични съобщения до потребителите и да ги измамят с умения за социално инженерство.
Повечето потребители няма да се интересуват от запазването на файловете на своите твърди дискове и да стартират антивирусни или продукти за откриване на заплахи върху тях, преди да отворят файловете.
Броят на кибератаките на дневна база ще продължи да нараства, тъй като все повече организации се включват в този вид дейност.
План за защита
Като за начало потребителите трябва да вземат предпазни мерки, за да защитят своите имейл адреси, потребителски имена и пароли.
За да помогнете за справяне със заплахата от структурата на екипа, се препоръчва да вие;
- Активирайте проверката в две стъпки за акаунтите в Microsoft, които използвате за Teams.
- Ако файловете бъдат изпуснати в папките на Teams, добавете повече сигурност към тези файлове. Изпратете техните хешове на VirusTotal, за да се уверите, че не са злонамерени кодове.
- Добавете допълнителна сигурност за връзките, споделени в Teams, и се уверете, че използвате реномирани услуги за проверка на връзки.
- Уверете се, че служителите са наясно с рисковете, свързани с използването на платформи за комуникация и споделяне.
Вашата организация използва ли екипи на Microsoft? Някой имал ли е кибератаки на платформата? Споделете вашите мнения в секцията за коментари.
