위험한 마이크로소프트 팀즈 공격 수법

과거에는 악성 이메일이 해커가 기업 네트워크를 맬웨어로 감염시키는 일반적인 방법이었습니다. 오늘날 점점 더 많은 회사에서 내부 커뮤니케이션을 위해 Microsoft Teams와 같은 공동 작업 도구를 사용합니다.

또한 이러한 도구는 COVID-19 팬데믹 기간 동안 기업에서 원격 작업에 점점 더 많이 사용하고 있습니다.

이제 공격자는 이 도구(및 기타 도구)의 잠재력을 인식하고 맬웨어를 확산하는 데 사용하고 있습니다. 직원들은 이러한 채널을 통해 표적이 될 것으로 예상하는 경우가 거의 없기 때문에 평소보다 덜 조심하는 경향이 있어 쉽게 표적이 됩니다.

이 블로그 게시물은 공격자가 이러한 취약점을 악용하는 방법과 사용자가 이러한 공격으로부터 자신과 조직을 보호하기 위해 무엇을 할 수 있는지 설명합니다.

그들이 공격하는 방법

Microsoft Teams에 포함된 협업 플랫폼 마이크로소프트 365 제품군을 통해 사용자는 오디오 및 비디오 회의를 수행하고 여러 채널에서 채팅하고 파일을 공유할 수 있습니다.

전 세계의 많은 회사에서 이 팬데믹 기간 동안 원격 직원 공동 작업을 위한 핵심 도구로 Microsoft Teams의 사용을 채택했습니다.

채널 채팅에는 사용자 시스템에 맬웨어를 주입하는 데 악용될 수 있는 알려진 취약점이 없습니다. 그러나 악의적인 목적으로 사용될 수 있는 기존의 방법이 있습니다.

 Microsoft Teams는 파일 크기가 100MB를 초과하지 않는 한 파일 공유를 허용합니다. 공격자는 Microsoft Teams의 모든 공개 채널에 모든 파일을 업로드할 수 있으며 채널에 액세스할 수 있는 사람은 누구나 파일을 다운로드할 수 있습니다.

에서 사이버 보안 관점에서 보면 금광처럼 들립니다. 하나의 팀 채널에서 민감한 정보나 지적 재산을 포함한 모든 대화와 정보에 액세스할 수 있습니다.

Teams를 사용하면 매우 민감한 정보나 지적 재산을 포함할 수 있는 다양한 채널의 모든 대화에 액세스할 수 있습니다. 또한 사용자 간에 공유되는 민감한 파일이 포함될 수도 있습니다.

그러나 재정적으로 동기가 부여된 사이버 범죄자도 팀에서 혜택을 볼 수 있습니다. 신용 카드 정보 획득과 ​​같은 사기를 더 많이 저지를 수 있는 Teams 내부의 흥미로운 데이터 예를 들어.

공격자는 악성 링크가 포함된 표적 스피어 피싱 이메일로 시작한다고 합니다. 사용하는 조직의 구성원이 클릭하는 경우.

공격자가 회사의 전사적 자원 관리 시스템에 액세스하려고 할 때 액세스에 필요한 유일한 것은 직원 중 한 명의 유효한 자격 증명입니다. 이러한 자격 증명을 얻는 일반적인 방법은 대상 조직에 있는 사용자에 대해 피싱 캠페인을 실행하는 것입니다.

공격자가 피해자의 이메일 계정에 액세스하면 Microsoft Teams를 통해 로그인한 다음 사용자가 다른 소스에서 문서를 가져올 수 있는 기능을 사용할 수 있습니다.

그런 다음 공격자는 악성 JavaScript가 포함된 HTML 문서를 업로드하고 해당 문서에 액세스할 수 있는 다른 직원이 열 때 실행할 다른 문서에 연결할 수 있습니다.

초기 액세스 브로커 또는 사회 공학을 통해 유효한 자격 증명을 구매하여 사용자에 대한 공격을 수행할 수도 있습니다.

팀을 통해 감염된 사용자

공격자는 직원, 고객 및 파트너 간의 모든 기밀 통신 채널에 직접 액세스할 수 있습니다. 또한 공격자는 비공개 채팅을 읽고 조작할 수도 있습니다.

공격은 인보이스 문서의 이미지가 포함된 악성 이메일의 형태로 이루어집니다. 이 이미지에는 육안으로는 보이지 않지만 클릭하면 활성화되는 악의적으로 제작된 하이퍼링크가 포함되어 있습니다.

마이크로소프트 팀즈 때때로 수천 건의 공격을 보았습니다. 공격자는 실행 가능한 악성 파일을 다른 Teams 대화에 떨어뜨립니다. 이러한 파일은 트로이 목마이며 컴퓨터 시스템에 매우 악의적일 수 있습니다.

파일이 컴퓨터에 설치되면 컴퓨터가 의도하지 않은 작업을 수행하도록 하이재킹될 수 있습니다.

우리는 공격자의 궁극적인 목표가 무엇인지 모릅니다. 우리는 그들이 목표에 대한 더 많은 정보를 얻거나 목표 네트워크의 컴퓨터에 대한 전체 액세스 권한을 원한다고 의심할 수 있습니다.

이 지식은 그들에게 일종의 금융 사기나 사이버 스파이 활동을 해낼 수 있는 능력을 주었을 것입니다.

링크 감지 없음

무엇을 만드는가 취약한 마이크로소프트 팀즈 인프라가 보안을 염두에 두고 구축되지 않았기 때문입니다. 따라서 악성 링크 탐지 시스템이 없으며 일반적인 바이러스 탐지 엔진만 있습니다.

사용자는 회사가 제공하는 플랫폼에 있는 것을 신뢰하는 경향이 있기 때문에 맬웨어 공유 및 감염에 취약할 수 있습니다.

놀라운 수준의 신뢰로 인해 사용자는 새로운 플랫폼을 사용하는 것이 안전하다고 느끼게 됩니다. 사용자는 평소보다 훨씬 더 관대하게 데이터를 관리할 수 있습니다.

공격자는 감염 파일이나 링크를 채팅 채널에 넣어 사람들을 속일 수 있을 뿐만 아니라 사용자에게 개인 메시지를 보내고 사회 공학 기술로 속일 수도 있습니다.

대부분의 사용자는 파일을 열기 전에 하드 드라이브에 파일을 저장하고 바이러스 백신 또는 위협 탐지 제품을 실행하는 데 신경을 쓰지 않습니다.

더 많은 조직이 이러한 유형의 활동에 참여함에 따라 매일 사이버 공격의 수는 계속 증가할 것입니다.

보호 계획

우선 사용자는 이메일 주소, 사용자 이름 및 비밀번호를 보호하기 위해 예방 조치를 취해야 합니다.

팀 구조 위협을 해결하는 데 도움이 되도록 다음을 수행하는 것이 좋습니다.

• Teams에 사용하는 Microsoft 계정에서 2단계 인증을 활성화하세요.
• 파일이 팀 폴더에 있는 경우 해당 파일에 더 많은 보안을 추가하십시오. 해시를 VirusTotal에 보내 악성 코드가 아닌지 확인합니다.
• Teams에서 공유되는 링크에 대한 보안을 추가하고 평판이 좋은 링크 검사 서비스를 사용하십시오.
• 직원들이 커뮤니케이션 및 공유 플랫폼 사용과 관련된 위험을 인지하고 있는지 확인하십시오.

조직에서 Microsoft 팀을 사용하고 있습니까? 플랫폼에서 사이버 공격을 경험한 사람이 있습니까? 의견 섹션에서 의견을 공유하십시오.