- Було повідомлення про кібератаки на Microsoft Teams, спрямовані на корпоративних користувачів.
- Щоб отримати доступ до платформи Teams, зловмиснику потрібні дійсні облікові дані від одного зі співробітників цільової організації.
- Тому користувачі повинні переконатися, що їхні облікові дані електронної пошти зберігаються в безпеці.
У минулому шкідливі електронні листи були поширеним способом для хакерів заразити корпоративні мережі шкідливим програмним забезпеченням. Сьогодні все більше компаній використовують такі інструменти для спільної роботи, як Microsoft Teams, для внутрішнього спілкування.
Крім того, ці інструменти все частіше використовуються компаніями для віддаленої роботи під час пандемії COVID-19.
Тепер зловмисники усвідомили потенціал цього інструменту (та інших) і використовують його для поширення шкідливого програмного забезпечення. Оскільки працівники рідко очікують, що будуть націлені через ці канали, вони, як правило, менш обережні, ніж зазвичай, що робить їх легкою мішенню.
У цьому блозі описано, як зловмисники використовують ці вразливості та що користувачі можуть зробити, щоб захистити себе та свої організації від таких атак.
Як вони нападають
Microsoft Teams, платформа для співпраці, включена в Microsoft 365 сімейство продуктів, дозволяє користувачам проводити аудіо- та відеоконференції, спілкуватися в кількох каналах і обмінюватися файлами.
Багато компаній у всьому світі скористалися Microsoft Teams як основним інструментом для віддаленої співпраці співробітників під час цієї пандемії.
У чаті каналу немає відомих вразливостей, які можна було б використати для впровадження шкідливого програмного забезпечення в систему користувача. Однак існує метод, який можна використати у зловмисних цілях.
Microsoft Teams дозволяє ділитися файлами, якщо розмір файлу не перевищує 100 МБ. Зловмисник може завантажити будь-який файл на будь-який загальнодоступний канал у Microsoft Teams, і будь-хто, хто має доступ до каналу, зможе його завантажити.
Від а кібербезпека З точки зору, це звучить як золота копальня: з будь-якого каналу команди ви можете отримати доступ до всіх розмов та інформації, включаючи конфіденційну інформацію чи інтелектуальну власність.
Оскільки Teams дає вам доступ до всіх розмов у різних каналах, які можуть містити дуже конфіденційну інформацію або інтелектуальну власність. Він також може містити конфіденційні файли, якими поділилися його користувачі.
Тим не менш, фінансово мотивовані кіберзлочинці також можуть отримати користь від Teams, оскільки вони можуть зловити цікаві дані всередині Teams, які можуть дозволити їм вчинити більше шахрайства, наприклад, отримати інформацію про кредитну картку наприклад.
Кажуть, що зловмисники починають з цілеспрямованих фішингових листів, які містять шкідливі посилання. Якщо на них натискають члени організацій, які використовують.
Коли зловмисник намагається отримати доступ до системи планування корпоративних ресурсів компанії, єдине, що потрібно для доступу, — це дійсні облікові дані одного зі співробітників. Поширеним способом отримати такі облікові дані є запуск фішингової кампанії для користувачів, які перебувають у цільовій організації.
Після того, як зловмисник отримав доступ до облікового запису електронної пошти жертви, він може увійти в систему через Microsoft Teams, а потім використовувати функцію, яка дозволяє користувачам імпортувати документи з інших джерел.
Потім зловмисник може завантажити HTML-документ, який містить шкідливий JavaScript, і зв’язати його з іншим документом, який запускатиметься, коли його відкриють інші співробітники, які мають до нього доступ.
Атаки також можуть здійснюватися проти користувачів шляхом придбання дійсних облікових даних у брокера початкового доступу або за допомогою соціальної інженерії.
Користувачі, заражені через Teams
Зловмисник може отримати прямий доступ до всіх конфіденційних каналів зв'язку між співробітниками, клієнтами і партнерами. Крім того, зловмисники також можуть читати та маніпулювати приватними чатами.
Атаки відбуваються у формі шкідливих електронних листів, які містять зображення документа рахунка-фактури. Це зображення містить шкідливо створене гіперпосилання, яке невидиме неозброєним оком, але активне при натисканні.
Microsoft Teams час від часу спостерігав тисячі нападів. Зловмисник перекидає виконувані шкідливі файли в різні розмови Teams. Ці файли є троянами і можуть бути дуже шкідливими для комп’ютерних систем.
Після встановлення файлу на вашому комп’ютері комп’ютер може бути зламаний, щоб робити те, чого ви не планували.
Ми не знаємо, яка кінцева мета нападників. Ми можемо лише підозрювати, що вони хочуть отримати більше інформації про свою ціль або повний доступ до комп’ютерів у цільовій мережі.
Ці знання могли дати їм можливість здійснити якесь фінансове шахрайство або кібершпигунство.
Немає виявлення посилання
Що робить Microsoft Teams вразлива полягає в тому, що його інфраструктура побудована не з урахуванням безпеки. Таким чином, він не має системи виявлення шкідливих посилань і має лише загальний механізм виявлення вірусів.
Оскільки користувачі, як правило, довіряють тому, що на платформі, яку надають їхні компанії, вони можуть бути вразливими до поширення шкідливого програмного забезпечення та зараження.
Дивовижний рівень довіри змушує користувачів відчувати себе в безпеці при використанні нової платформи. Користувачі можуть бути набагато щедрішими зі своїми даними, ніж зазвичай.
Зловмисники можуть не тільки обдурити людей, заражаючи файли або посилання в канали чату, але вони також можуть надсилати приватні повідомлення користувачам і обманювати їх за допомогою навичок соціальної інженерії.
Більшість користувачів не будуть піклуватися про збереження файлів на своїх жорстких дисках і запуск антивірусних засобів або продуктів для виявлення загроз перед відкриттям файлів.
Кількість кібератак на щоденній основі продовжуватиме зростати, оскільки все більше організацій залучаються до цього виду діяльності.
План захисту
Для початку користувачі повинні вжити заходів, щоб захистити свої адреси електронної пошти, імена користувачів та паролі.
Щоб допомогти подолати загрозу структури команди, пропонується вам;
- Увімкніть двоетапну перевірку в облікових записах Microsoft, які ви використовуєте для Teams.
- Якщо файли перебувають у папках Teams, додайте до цих файлів більше безпеки. Надішліть їхні хеші до VirusTotal, щоб переконатися, що вони не є шкідливими кодами.
- Додайте додаткову безпеку для посилань, якими ділиться в Teams, і обов’язково використовуйте надійні служби перевірки посилань.
- Переконайтеся, що співробітники усвідомлюють ризики, пов’язані з використанням платформ спілкування та обміну інформацією.
Чи використовує ваша організація команди Microsoft? Хтось стикався з кібератаками на платформі? Поділіться своїми думками в розділі коментарів.
