危険なMicrosoftTeamsの攻撃方法

これまで、悪意のある電子メールは、ハッカーが企業ネットワークをマルウェアに感染させる一般的な方法でした。 今日、ますます多くの企業が内部コミュニケーションにMicrosoftTeamsなどのコラボレーションツールを使用しています。

さらに、これらのツールは、COVID-19パンデミックの際のリモートワークのために企業によってますます使用されています。

現在、攻撃者はこのツール（およびその他）の可能性を認識しており、マルウェアを拡散するために使用しています。 従業員がこれらのチャネルを介してターゲットにされることはめったにないため、通常よりも慎重になる傾向があり、ターゲットになりやすくなります。

このブログ投稿では、攻撃者がこれらの脆弱性をどのように悪用しているか、およびユーザーがそのような攻撃から自分自身と組織を保護するために何ができるかについて説明しています。

彼らが攻撃する方法

Microsoft Teams、に含まれるコラボレーションプラットフォーム Microsoft 365 製品ファミリ。ユーザーは、音声およびビデオ会議を行ったり、複数のチャネルでチャットしたり、ファイルを共有したりできます。

世界中の多くの企業が、このパンデミックの間、リモートの従業員コラボレーションのコアツールとしてMicrosoftTeamsの使用を採用しています。

チャネルチャットには、ユーザーのシステムにマルウェアを注入するために悪用される可能性のある既知の脆弱性はありません。 ただし、悪意のある目的に使用される可能性のある既存の方法があります。

 Microsoft Teamsは、ファイルサイズが100 MBを超えない限り、ファイル共有を許可します。 攻撃者は任意のファイルをMicrosoftTeamsの任意の公開チャネルにアップロードでき、そのチャネルにアクセスできる人は誰でもそのファイルをダウンロードできます。

から サイバーセキュリティ 見方をすれば、それは金鉱のように聞こえます。どのチームチャネルからでも、機密情報や知的財産を含むすべての会話や情報にアクセスできます。

チームでは、非常に機密性の高い情報や知的財産が含まれている可能性のあるさまざまなチャネルにわたるすべての会話にアクセスできます。 また、ユーザー間で共有される機密ファイルが含まれている場合もあります。

それでも、経済的に動機付けられたサイバー犯罪者は、チームを捕まえることができるかもしれないので、チームからも利益を得ることができます チーム内の興味深いデータ。これにより、クレジットカード情報の取得など、より多くの不正行為を犯す可能性があります。 例えば。

攻撃者は、悪意のあるリンクを含む標的型のスピアフィッシングメールから始めると言われています。 を使用している組織のメンバーがそれらをクリックした場合。

攻撃者が企業のエンタープライズリソースプランニングシステムにアクセスしようとしている場合、アクセスに必要なのは、従業員の1人の有効なクレデンシャルだけです。 このような資格情報を取得する一般的な方法は、ターゲット組織にいるユーザーに対してフィッシングキャンペーンを実行することです。

攻撃者が被害者の電子メールアカウントにアクセスすると、Microsoft Teamsを介してログインし、ユーザーが他のソースからドキュメントをインポートできる機能を使用できます。

攻撃者は、悪意のあるJavaScriptを含むHTMLドキュメントをアップロードし、それにアクセスできる他の従業員が開いたときに実行される別のドキュメントにリンクすることができます。

また、初期アクセスブローカーから有効な資格情報を購入するか、ソーシャルエンジニアリングを介して、ユーザーに対して攻撃が行われる可能性があります。

Teamsを介して感染したユーザー

攻撃者は、従業員、顧客、およびパートナー間のすべての機密通信チャネルに直接アクセスできます。 さらに、攻撃者はプライベートチャットを読んだり操作したりすることもできます。

攻撃は、請求書ドキュメントの画像を含む悪意のある電子メールの形で発生します。 この画像には、肉眼では見えないがクリックするとアクティブになる、悪意を持って作成されたハイパーリンクが含まれています。

Microsoft Teams 時々何千もの攻撃を見てきました。 攻撃者は、実行可能な悪意のあるファイルをさまざまなチームの会話にドロップします。 これらのファイルはトロイの木馬であり、コンピュータシステムにとって非常に悪意のあるものになる可能性があります。

ファイルがコンピュータにインストールされると、コンピュータが乗っ取られて、意図しないことを実行する可能性があります。

攻撃者の最終的な目標が何であるかはわかりません。 私たちは、彼らが彼らのターゲットについてのより多くの情報、またはターゲットされたネットワーク内のコンピューターへのフルアクセスを取得したいと思っているとしか思えません。

この知識は、彼らにある種の金融詐欺やサイバースパイを阻止する能力を与えたかもしれません。

リンクが検出されない

何が MicrosoftTeamsは脆弱です そのインフラストラクチャはセキュリティを念頭に置いて構築されていないということです。 そのため、悪意のあるリンク検出システムはなく、一般的なウイルス検出エンジンしかありません。

ユーザーは会社が提供するプラットフォーム上にあるものを信頼する傾向があるため、マルウェアの共有や感染に対して脆弱になる可能性があります。

驚くべきレベルの信頼により、ユーザーは新しいプラットフォームの使用について安心できます。 ユーザーは、通常よりもはるかに寛大なデータを使用できます。

攻撃者は、感染ファイルやリンクをチャットチャネルに配置することで人をだますだけでなく、ユーザーにプライベートメッセージを送信して、ソーシャルエンジニアリングスキルでだまします。

ほとんどのユーザーは、ファイルを開く前に、ファイルをハードドライブに保存したり、ウイルス対策製品や脅威検出製品を実行したりすることを気にしません。

この種の活動に関与する組織が増えるにつれ、日々のサイバー攻撃の数は増え続けるでしょう。

保護計画

手始めに、ユーザーは自分の電子メールアドレス、ユーザー名、およびパスワードを保護するための予防措置を講じる必要があります。

チーム構造の脅威に対処するために、次のことをお勧めします。

• チームに使用するMicrosoftアカウントで2段階認証プロセスを有効にします。
• ファイルがTeamsフォルダーにドロップされた場合は、それらのファイルのセキュリティを強化します。 ハッシュをVirusTotalに送信して、悪意のあるコードでないことを確認します。
• Teamsで共有されるリンクにセキュリティを追加し、信頼できるリンクチェックサービスを使用してください。
• コミュニケーションおよび共有プラットフォームの使用に伴うリスクを従業員が認識していることを確認してください。

あなたの組織はMicrosoftチームを使用していますか？ プラットフォームでサイバー攻撃を経験した人はいますか？ コメントセクションであなたの意見を共有してください。