此外,在 COVID-19 大流行期間,公司越來越多地使用這些工具進行遠程工作。
現在,攻擊者已經意識到這個工具(和其他工具)的潛力,並正在使用它來傳播惡意軟件。由於員工很少期望通過這些渠道受到騷擾,他們往往不像平時那麼謹慎,因此很容易成為目標。
這篇博文描述了攻擊者如何利用這些漏洞,以及用戶可以採取哪些措施來保護自己和他們的組織免受此類攻擊。
他們如何攻擊
Microsoft Teams 是Microsoft 365產品系列中的一個協作平台,允許用戶進行音頻和視頻會議、跨多個渠道聊天以及共享文件。
世界各地的許多公司都在使用 Microsoft Teams 作為他們在這次大流行期間進行遠程員工協作的主要工具。
頻道聊天中沒有可用於將惡意軟件注入用戶系統的已知漏洞。但是,存在一種可用於惡意目的的現有方法。
只要文件大小小於 100 MB,Microsoft Teams 就允許文件共享。攻擊者可以將任何文件上傳到 Microsoft Teams 中的任何公共頻道,任何有權訪問該頻道的人都可以上傳該文件。
從網絡安全的角度來看,這聽起來像是一座金礦:從任何團隊頻道,您都可以訪問所有對話和信息,包括機密信息或知識產權。
因為 Teams 允許您跨多個渠道訪問所有對話,其中可能包含高度敏感的信息或知識產權。它還可能包含其用戶共享的敏感文件。
但是,出於經濟動機的網絡犯罪分子也可以從 Teams 中受益,因為他們可以在 Teams 內部收集有趣的數據,這可能使他們能夠進行更多欺詐,例如獲取信用卡信息。
據報導,攻擊者從包含惡意鏈接的魚叉式網絡釣魚電子郵件開始。如果它們被使用的組織成員單擊。
當攻擊者試圖訪問公司的企業資源規劃系統時,唯一需要訪問的是其中一名員工的有效憑據。獲取此類憑據的常用方法是針對目標組織中的用戶進行網絡釣魚活動。
通過訪問受害者的電子郵件帳戶,攻擊者可以通過 Microsoft Teams 登錄,然後使用允許用戶從其他來源導入文檔的功能。
然後,攻擊者可以下載包含惡意 JavaScript 的 HTML 文檔,並將其鏈接到另一個文檔,該文檔將在有權訪問它的其他員工打開時運行。
還可以通過從初始訪問代理處購買有效憑證或通過社會工程對用戶進行攻擊。
通過 Teams 感染的用戶
攻擊者可以直接訪問員工、客戶和合作夥伴之間的所有機密通信渠道。此外,攻擊者還可以閱讀和操縱私人聊天。
攻擊以包含發票文檔圖像的惡意電子郵件的形式進行。此圖像包含惡意超鏈接,肉眼不可見,但單擊時會激活。
Microsoft Teams不時受到數以千計的攻擊。攻擊者將惡意可執行文件放入不同的 Teams 對話中。這些文件是特洛伊木馬,對計算機系統非常有害。
一旦文件安裝在您的計算機上,計算機可能會被劫持以執行您不打算執行的操作。
我們不知道攻擊者的最終目標是什麼。我們只能懷疑他們想要有關目標的更多信息,或者對目標網絡上的計算機的完全訪問權限。
這些知識可以使他們能夠進行某種金融欺詐或網絡間諜活動。
未找到鏈接
使Microsoft Teams 易受攻擊的原因在於,它的基礎架構在構建時並未考慮到安全性。因此,它沒有惡意鏈接檢測系統,只有通用的病毒檢測引擎。
由於用戶傾向於信任他們公司提供的平台上的內容,因此他們很容易受到惡意軟件共享和感染。
驚人的信任度使用戶在使用新平台時感到安全。用戶可以比平時更慷慨地使用他們的數據。
攻擊者不僅可以通過在聊天頻道中發布感染文件或鏈接來欺騙人們,還可以向用戶發送私人消息並使用社交工程技能欺騙他們。
大多數用戶不會關心在打開文件之前將文件保存到硬盤驅動器並在其上運行防病毒或威脅檢測產品。
隨著越來越多的組織參與此類活動,每日網絡攻擊的數量將繼續增加。
防禦計劃
首先,用戶應該採取預防措施來保護他們的電子郵件地址、用戶名和密碼。
為了幫助消除團隊結構威脅,我們鼓勵您:
- 為您用於 Teams 的 Microsoft 帳戶啟用兩步驗證。
- 如果將文件拖到 Teams 文件夾中,請提高這些文件的安全性。將它們的哈希提交給 VirusTotal 以確保它們不是惡意代碼。
- 為 Teams 中共享的鏈接添加額外的安全性,並確保使用受信任的鏈接檢查服務。
- 確保員工了解與使用平台交流和共享信息相關的風險。
您的組織是否使用 Microsoft Teams?有人在平台上經歷過網絡攻擊嗎?在評論部分分享您的意見。
發佈留言