W przeszłości złośliwa poczta e-mail była powszechnym sposobem infekowania sieci korporacyjnych przez hakerów złośliwym oprogramowaniem. Obecnie coraz więcej firm korzysta z narzędzi do współpracy, takich jak Microsoft Teams, do komunikacji wewnętrznej.
Ponadto narzędzia te są coraz częściej wykorzystywane przez firmy do pracy zdalnej podczas pandemii COVID-19.
Teraz osoby atakujące zdały sobie sprawę z potencjału tego narzędzia (i innych) i wykorzystują je do rozprzestrzeniania złośliwego oprogramowania. Ponieważ pracownicy rzadko spodziewają się, że będą nękani tymi kanałami, są mniej ostrożni niż zwykle, co czyni ich łatwym celem.
W tym wpisie na blogu opisano, w jaki sposób osoby atakujące wykorzystują te luki w zabezpieczeniach oraz co użytkownicy mogą zrobić, aby chronić siebie i swoje organizacje przed takimi atakami.
Jak atakują
Microsoft Teams, platforma współpracy będąca częścią rodziny produktów Microsoft 365 , umożliwia użytkownikom prowadzenie konferencji audio i wideo, czatowanie w wielu kanałach i udostępnianie plików.
Wiele firm na całym świecie używa Microsoft Teams jako podstawowego narzędzia do zdalnej współpracy pracowników podczas tej pandemii.
Nie ma znanych luk w czacie kanału, które mogłyby zostać wykorzystane do wstrzyknięcia złośliwego oprogramowania do systemu użytkownika. Istnieje jednak metoda, którą można wykorzystać do złośliwych celów.
Microsoft Teams umożliwia udostępnianie plików, o ile rozmiar pliku jest mniejszy niż 100 MB. Osoba atakująca może przesłać dowolny plik do dowolnego kanału publicznego w Microsoft Teams, a każdy, kto ma dostęp do tego kanału, może go przesłać.
Z punktu widzenia cyberbezpieczeństwa brzmi to jak kopalnia złota: z dowolnego kanału zespołu możesz uzyskać dostęp do wszystkich rozmów i informacji, w tym informacji poufnych lub własności intelektualnej.
Ponieważ usługa Teams umożliwia dostęp do wszystkich konwersacji w wielu kanałach, które mogą zawierać bardzo poufne informacje lub własność intelektualną. Może również zawierać poufne pliki udostępniane przez jego użytkowników.
Jednak cyberprzestępcy zmotywowani finansowo również mogą czerpać korzyści z usługi Teams, ponieważ mogą gromadzić wewnątrz usługi Teams interesujące dane, które mogą pozwolić im na popełnianie większej liczby oszustw, takich jak uzyskiwanie informacji o karcie kredytowej.
Zgłasza się, że atakujący zaczynają od wiadomości e-mail typu spear phishing zawierających złośliwe linki. Jeśli klikają je członkowie korzystających z nich organizacji.
Gdy osoba atakująca próbuje uzyskać dostęp do systemu planowania zasobów przedsiębiorstwa firmy, jedyną rzeczą potrzebną do uzyskania dostępu są ważne poświadczenia jednego z pracowników. Zwykłym sposobem uzyskania takich poświadczeń jest przeprowadzenie kampanii phishingowej przeciwko użytkownikom w organizacji docelowej.
Uzyskując dostęp do konta e-mail ofiary, atakujący może zalogować się za pośrednictwem Microsoft Teams, a następnie skorzystać z funkcji umożliwiającej użytkownikom importowanie dokumentów z innych źródeł.
Atakujący może następnie pobrać dokument HTML zawierający złośliwy kod JavaScript i połączyć go z innym dokumentem, który zostanie uruchomiony po otwarciu przez innych pracowników, którzy mają do niego dostęp.
Ataki można również przeprowadzać na użytkowników, kupując ważne dane uwierzytelniające od początkowego brokera dostępu lub za pomocą socjotechniki.
Użytkownicy zainfekowani przez Teams
Atakujący może bezpośrednio uzyskać dostęp do wszystkich poufnych kanałów komunikacji między pracownikami, klientami i partnerami. Ponadto osoby atakujące mogą również czytać i manipulować prywatnymi czatami.
Ataki są przeprowadzane w formie złośliwych wiadomości e-mail zawierających obraz dokumentu Faktura. Ten obraz zawiera złośliwe hiperłącze, niewidoczne gołym okiem, ale aktywne po kliknięciu.
Microsoft Teams jest od czasu do czasu przedmiotem tysięcy ataków. Atakujący umieszcza złośliwe pliki wykonywalne w różnych konwersacjach usługi Teams. Pliki te są końmi trojańskimi i mogą być bardzo szkodliwe dla systemów komputerowych.
Po zainstalowaniu pliku na komputerze można go przejąć w celu wykonania niezamierzonych działań.
Nie wiemy, jaki jest ostateczny cel atakujących. Możemy tylko podejrzewać, że chcą więcej informacji o swoim celu lub pełnego dostępu do komputerów w sieci docelowej.
Ta wiedza może umożliwić im dokonanie pewnego rodzaju oszustwa finansowego lub cyberszpiegostwa.
Nie znaleziono linku
To, co sprawia , że Microsoft Teams jest podatne na ataki , to fakt, że jego infrastruktura nie jest budowana z myślą o bezpieczeństwie. W związku z tym nie ma systemu wykrywania złośliwych linków, a jedynie ogólny silnik wykrywania wirusów.
Ponieważ użytkownicy mają tendencję do ufania temu, co jest na platformie udostępnianej przez ich firmy, mogą być narażeni na udostępnianie złośliwego oprogramowania i infekcje.
Niesamowity poziom zaufania sprawia, że użytkownicy czują się bezpiecznie podczas korzystania z nowej platformy. Użytkownicy mogą być bardziej hojni niż zwykle w zakresie swoich danych.
Atakujący mogą nie tylko oszukiwać ludzi, publikując infekujące pliki lub linki w kanałach czatu, ale mogą również wysyłać prywatne wiadomości do użytkowników i oszukiwać ich za pomocą umiejętności socjotechnicznych.
Większość użytkowników nie będzie dbać o zapisywanie plików na dyskach twardych i uruchamianie na nich produktów antywirusowych lub wykrywających zagrożenia przed otwarciem plików.
Liczba codziennych cyberataków będzie nadal rosła, ponieważ coraz więcej organizacji angażuje się w tego typu działania.
Plan obronny
Przede wszystkim użytkownicy powinni podjąć środki ostrożności, aby chronić swoje adresy e-mail, nazwy użytkowników i hasła.
Aby pomóc wyeliminować zagrożenie struktury zespołu, zachęcamy do:
- Włącz weryfikację dwuetapową dla kont Microsoft, których używasz w usłudze Teams.
- Jeśli pliki są przeciągane do folderów Teams, zwiększ bezpieczeństwo tych plików. Prześlij ich skróty do VirusTotal, aby upewnić się, że nie są to złośliwe kody.
- Dodaj dodatkowe zabezpieczenia do łączy udostępnianych w aplikacji Teams i korzystaj z usług sprawdzania zaufanych łączy.
- Upewnij się, że pracownicy są świadomi zagrożeń związanych z używaniem platform do komunikowania się i udostępniania informacji.
Czy Twoja organizacja korzysta z Microsoft Teams? Czy ktoś doświadczył cyberataków na platformie? Podziel się swoją opinią w sekcji komentarzy.
Dodaj komentarz