Опасна метода напада Мицрософт Теамс-а

У прошлости су злонамерни мејлови били уобичајен начин да хакери заразе корпоративне мреже малвером. Данас све више компанија користи алате за сарадњу као што је Мицрософт Теамс за интерну комуникацију.

Поред тога, ове алате све више користе компаније за даљински рад током пандемије ЦОВИД-19.

Сада су нападачи препознали потенцијал овог алата (и других) и користе га за ширење злонамерног софтвера. Пошто запослени ретко очекују да буду циљани путем ових канала, они су мање опрезни него иначе, што их чини лаким метама.

Овај блог пост описује како нападачи искоришћавају ове рањивости и шта корисници могу да ураде да заштите себе и своје организације од таквих напада.

Како нападају

Мицрософт Теамс, платформа за сарадњу која је укључена у

Мицрософт 365 породице производа, омогућава корисницима да одржавају аудио и видео конференције, ћаскају на више канала и деле датотеке.

Многе компаније широм света су усвојиле коришћење Мицрософт тимова као основног алата за своју даљинску сарадњу запослених током ове пандемије.

Не постоје познате рањивости у ћаскању канала које би се могле искористити за убацивање малвера у систем корисника. Међутим, постоји метод који се може користити у злонамерне сврхе.

 Мицрософт Теамс дозвољава дељење датотека све док величина датотеке не прелази 100 МБ. Нападач може да отпреми било коју датотеку на било који јавни канал у Мицрософт тимовима и свако ко има приступ каналу ће моћи да је преузме.

Од сајбер безбедност Из перспективе, звучи као златни рудник: са било ког канала тима можете приступити свим разговорима и информацијама, укључујући осетљиве информације или интелектуалну својину.

Пошто вам тимови омогућавају приступ свим разговорима на различитим каналима који могу да садрже веома осетљиве информације или интелектуалну својину. Такође може да садржи осетљиве датотеке које деле његови корисници.

Ипак, финансијски мотивисани сајбер криминалци такође могу имати користи од тимова, јер би могли да ухвате занимљиви подаци унутар тимова, који би им могли омогућити да почине још превара, попут добијања информација о кредитној картици на пример.

Каже се да нападачи почињу са циљаним пхисхинг имејловима који садрже злонамерне везе. Ако на њих кликну чланови организација које користе.

Када нападач покушава да приступи систему планирања ресурса предузећа, једино што је потребно за приступ су валидни акредитиви за једног од запослених. Уобичајени начин за добијање оваквих акредитива је покретање пхисхинг кампање на корисницима који су у циљној организацији.

Када нападач добије приступ налогу е-поште жртве, може се пријавити преко Мицрософт тимова, а затим користити функцију која омогућава корисницима да увезу документе из других извора.

Нападач тада може да отпреми ХТМЛ документ који садржи злонамерни ЈаваСцрипт и да га повеже са другим документом који ће се покренути када га отворе други запослени који му имају приступ.

Напади се такође могу извршити на кориснике куповином важећих акредитива од брокера за почетни приступ или путем друштвеног инжењеринга.

Корисници заражени преко тимова

Нападач може директно приступити свим поверљивим каналима комуникације између запослених, купаца и партнера. Поред тога, нападачи су у стању да читају и манипулишу приватним разговорима.

Напади долазе у облику злонамерних е-порука које садрже слику документа фактуре. Ова слика садржи злонамерно направљену хипервезу која је невидљива голим оком, али је активна када се кликне.

Мицрософт Теамс с времена на време видео хиљаде напада. Нападач убацује извршне злонамерне датотеке у различите разговоре тимова. Ове датотеке су тројанци и могу бити веома злонамерни за рачунарске системе.

Када се датотека инсталира на ваш рачунар, рачунар може бити отет да би се радиле ствари које нисте намеравали да урадите.

Не знамо шта је крајњи циљ нападача. Можемо само да сумњамо да желе да добију више информација о својој мети, или потпуни приступ рачунарима у циљаној мрежи.

Ово сазнање им је могло дати могућност да изведу неку врсту финансијске преваре или сајбер шпијунаже.

Нема детекције везе

Оно што чини Мицрософт тимови су рањиви је да њена инфраструктура није изграђена имајући на уму безбедност. Као такав, нема систем за откривање злонамерних веза и има само заједнички механизам за откривање вируса.

Пошто корисници имају тенденцију да верују ономе што се налази на платформи коју пружају њихове компаније, могу бити рањиви на дељење злонамерног софтвера и заразу.

Изненађујући ниво поверења чини да се корисници осећају безбедно када користе нову платформу. Корисници могу бити много великодушнији са својим подацима него што би обично били.

Нападачи не могу само да преваре људе тако што ће заразити датотеке или везе у канале за ћаскање, већ могу и да шаљу приватне поруке корисницима и преваре их вештинама друштвеног инжењеринга.

Већина корисника неће бринути о чувању датотека на својим чврстим дисковима и покретању антивирусних програма или производа за откривање претњи на њима пре отварања датотека.

Број сајбер-напада на дневној бази наставиће да расте како све више организација буде укључено у ову врсту активности.

План заштите

За почетак, корисници би требало да предузму мере предострожности да заштите своје адресе е-поште, корисничка имена и лозинке.

Да бисте помогли у решавању претње структуре тима, предлаже се да;

• Омогућите верификацију у два корака на Мицрософт налозима које користите за тимове.
• Ако су датотеке испуштене у фасцикле Теамс, додајте више безбедности тим датотекама. Пошаљите њихове хешове ВирусТоталу да бисте били сигурни да нису злонамерни кодови.
• Додајте додатну сигурност за везе које се деле у тимовима и обавезно користите реномиране услуге провере веза.
• Уверите се да су запослени свесни ризика који су повезани са коришћењем платформи за комуникацију и дељење.

Да ли ваша организација користи Мицрософт тимове? Да ли је неко искусио сајбер нападе на платформи? Поделите своје ставове у одељку за коментаре.