- Pojavila se najava u vezi s cyber napadima na Microsoft Teams usmjerenim na korporativne korisnike.
- Za pristup platformi Teams, napadač zahtijeva valjane vjerodajnice od jednog od zaposlenika ciljanog entiteta.
- Korisnici stoga moraju osigurati da se njihove vjerodajnice e-pošte čuvaju na sigurnom i zaštićenom.
U prošlosti su zlonamjerne e-poruke bile uobičajen način za hakere da zaraze korporativne mreže zlonamjernim softverom. Danas sve više tvrtki koristi alate za suradnju kao što je Microsoft Teams za internu komunikaciju.
Osim toga, ove alate sve više koriste tvrtke za rad na daljinu tijekom pandemije COVID-19.
Sada su napadači prepoznali potencijal ovog alata (i drugih) i koriste ga za širenje zlonamjernog softvera. Budući da zaposlenici rijetko očekuju da će biti ciljani putem ovih kanala, obično su manje oprezni nego inače, što ih čini lakim metama.
Ovaj blog post opisuje kako napadači iskorištavaju ove ranjivosti i što korisnici mogu učiniti kako bi zaštitili sebe i svoje organizacije od takvih napada.
Kako napadaju
Microsoft Teams, platforma za suradnju uključena u Microsoft 365 obitelj proizvoda, omogućuje korisnicima da održavaju audio i video konferencije, razgovaraju na više kanala i dijele datoteke.
Mnoge tvrtke diljem svijeta usvojile su korištenje Microsoftovih timova kao osnovnog alata za svoju daljinsku suradnju zaposlenika tijekom ove pandemije.
Nema poznatih ranjivosti u chatu kanala koje bi se mogle iskoristiti za ubacivanje zlonamjernog softvera u sustav korisnika. Međutim, postoji metoda koja se može koristiti u zlonamjerne svrhe.
Microsoft Teams dopušta dijeljenje datoteka sve dok veličina datoteke ne prelazi 100 MB. Napadač može prenijeti bilo koju datoteku na bilo koji javni kanal u Microsoftovim timovima i svatko tko ima pristup kanalu moći će je preuzeti.
Od kibernetička sigurnost Iz perspektive, zvuči kao zlatni rudnik: s bilo kojeg kanala tima možete pristupiti svim razgovorima i informacijama, uključujući osjetljive informacije ili intelektualno vlasništvo.
Budući da vam Teams omogućuje pristup svim razgovorima na različitim kanalima koji mogu sadržavati vrlo osjetljive informacije ili intelektualno vlasništvo. Također može sadržavati osjetljive datoteke koje dijele njegovi korisnici.
Ipak, financijski motivirani cyber kriminalci također mogu imati koristi od timova, budući da bi mogli uhvatiti zanimljivi podaci unutar timova, koji bi im mogli omogućiti da počine još prijevare, poput dobivanja podataka o kreditnoj kartici na primjer.
Napadači su navodno započeli s ciljanim phishing e-porukama koje sadrže zlonamjerne veze. Ako ih kliknu članovi organizacija koje koriste.
Kada napadač pokušava pristupiti sustavu planiranja poslovnih resursa tvrtke, jedino što je potrebno za pristup su valjane vjerodajnice za jednog od zaposlenika. Uobičajeni način stjecanja takvih vjerodajnica je pokretanje kampanje za krađu identiteta na korisnicima koji su u ciljnoj organizaciji.
Nakon što napadač dobije pristup računu e-pošte žrtve, može se prijaviti putem Microsoftovih timova i zatim koristiti značajku koja korisnicima omogućuje uvoz dokumenata iz drugih izvora.
Napadač tada može prenijeti HTML dokument koji sadrži zlonamjerni JavaScript i povezati ga s drugim dokumentom koji će se pokrenuti kada ga otvore drugi zaposlenici koji mu imaju pristup.
Napadi se također mogu izvesti na korisnike kupnjom valjanih vjerodajnica od brokera za početni pristup ili putem društvenog inženjeringa.
Korisnici zaraženi putem Teams
Napadač može izravno pristupiti svim povjerljivim komunikacijskim kanalima između zaposlenika, kupaca i partnera. Osim toga, napadači također mogu čitati i manipulirati privatnim razgovorima.
Napadi dolaze u obliku zlonamjernih e-poruka koje sadrže sliku dokumenta računa. Ova slika sadrži zlonamjerno izrađenu hipervezu koja je nevidljiva golim okom, ali je aktivna kada se klikne.
Microsoftovi timovi s vremena na vrijeme vidio tisuće napada. Napadač ispušta izvršne zlonamjerne datoteke u različite Teams razgovore. Te su datoteke trojanci i mogu biti vrlo zlonamjerne za računalne sustave.
Nakon što se datoteka instalira na vaše računalo, računalo se može oteti kako bi se radile stvari koje niste namjeravali učiniti.
Ne znamo koji je krajnji cilj napadača. Možemo samo sumnjati da žele dobiti više informacija o svojoj meti, odnosno puni pristup računalima u ciljanoj mreži.
To im je znanje moglo dati mogućnost da izvedu neku vrstu financijske prijevare ili cyber špijunaže.
Nema detekcije veze
Ono što čini Microsoftovi timovi ranjivi je da njegova infrastruktura nije izgrađena imajući na umu sigurnost. Kao takav, nema sustav za otkrivanje zlonamjernih veza i ima samo zajednički mehanizam za otkrivanje virusa.
Budući da korisnici imaju tendenciju vjerovati onome što se nalazi na platformi koju pružaju njihove tvrtke, mogu biti ranjivi na dijeljenje zlonamjernog softvera i zarazu.
Iznenađujuća razina povjerenja čini da se korisnici osjećaju sigurno pri korištenju nove platforme. Korisnici mogu biti puno velikodušniji sa svojim podacima nego što bi inače bili.
Napadači ne mogu samo prevariti ljude tako što će zaraziti datoteke ili poveznice u kanale za razgovor, već mogu i slati privatne poruke korisnicima i prevariti ih vještinama društvenog inženjeringa.
Većina korisnika neće brinuti o spremanju datoteka na svojim tvrdim diskovima i pokretanju antivirusnih proizvoda ili proizvoda za otkrivanje prijetnji na njima prije otvaranja datoteka.
Broj cyber-napada na dnevnoj bazi nastavit će rasti kako se sve više organizacija uključi u ovu vrstu aktivnosti.
Plan zaštite
Za početak, korisnici bi trebali poduzeti mjere opreza kako bi zaštitili svoje adrese e-pošte, korisnička imena i lozinke.
Kako biste pomogli u rješavanju prijetnje strukturi tima, predlažemo da;
- Omogućite provjeru u dva koraka na Microsoftovim računima koje koristite za Teams.
- Ako su datoteke ispuštene u mape Teams, dodajte više sigurnosti tim datotekama. Pošaljite njihove hasheve VirusTotalu kako biste bili sigurni da nisu zlonamjerni kodovi.
- Dodajte dodatnu sigurnost za veze koje se dijele na timovima i obavezno koristite renomirane usluge provjere veza.
- Provjerite jesu li zaposlenici svjesni rizika povezanih s korištenjem platformi za komunikaciju i dijeljenje.
Koristi li vaša organizacija Microsoftove timove? Je li netko doživio cyber napade na platformu? Podijelite svoje stavove u odjeljku za komentare.