Microsoft Teamsin sosiaalisen manipuloinnin hyökkäys tapahtui äskettäin alustalla
4 min. lukea
Julkaistu
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Venäläinen uhkatekijä Midnight Blizzard suoritti Microsoft Teamsin sosiaalisen manipuloinnin hyökkäyksen alustalla äskettäin. Aiemmin käyttänyt uhkailija vaaransi Microsoft 365 -vuokralaiset luodaksesi uusia verkkotunnuksia, jotka näkyvät teknisen tuen kokonaisuuksina. Näiden naamioiden alla Midnight Blizzard yrittää sitten varastaa organisaatioiden valtuustiedot Teams-viestien avulla ottamalla käyttöön käyttäjän ja saamalla hyväksynnän monitekijätodennuskehotuksiin (MFA).
Kaikkia Microsoft Teamsia käyttäviä organisaatioita kehotetaan vahvistamaan tietoturvakäytäntöjä ja pitämään kaikki muut kuin käyttäjän tekemät todennuspyynnöt haitallisina.
Heidän viimeisimmän tutkimuksensa mukaanMicrosoft Teamsin sosiaalisen manipuloinnin hyökkäys vaikutti noin 40:een maailmanlaajuiseen organisaatioon. Kuten näiden uhkatoimijoiden aiempien hyökkäysten yhteydessä, organisaatiot olivat pääasiassa viranomaisia, kansalaisjärjestöjä (NGO), IT-palveluita, teknologiaa, erillistä valmistusta ja mediasektoreita. Tämä on järkevää, kun otetaan huomioon, että Midnight Blizzard on Venäjän uhkaava toimija, jota Yhdysvaltain ja Yhdistyneen kuningaskunnan hallitukset ovat aiemmin pitäneet Venäjän federaation ulkomaantiedustelupalvelusta.
Hyökkäykset tapahtuivat toukokuussa 2023. Jos muistat, toinen uhkatekijä Storm-0558 aiheutti vakavia vahinkoja Microsoftin palvelimille tuolloin.
Midnight Blizzard kuitenkin käyttää oikeita Microsoft Teams -tunnuksia vaarantuneista tileistä yrittääkseen saada käyttäjät syöttämään koodin laitteensa kehotteeseen. He tekevät sen naamioitumalla tekniseksi tueksi tai turvallisuustiimiin.
Microsoftin mukaan Midnight Blizzard tekee sen kolmessa vaiheessa:
- Kohdekäyttäjä voi saada Microsoft Teams -viestipyynnön ulkoiselta käyttäjältä, joka esiintyy teknisen tuen tai tietoturvatiiminä.
- Jos kohdekäyttäjä hyväksyy viestipyynnön, käyttäjä saa Microsoft Teams -viestin hyökkääjältä, joka yrittää saada hänet syöttämään koodin mobiililaitteensa Microsoft Authenticator -sovellukseen.
- Jos kohdekäyttäjä hyväksyy viestipyynnön ja syöttää koodin Microsoft Authenticator -sovellukseen, uhkatoimijalle myönnetään token, jonka avulla hän voi todentaa kohdekäyttäjänä. Näyttelijä saa pääsyn käyttäjän Microsoft 365 -tiliin suoritettuaan todennusprosessin.
Microsoft julkaisi luettelon sähköpostinimistä, joiden suhteen sinun tulee olla varovainen:
Kompromissin indikaattorit
| Osoitin | Tyyppi | Kuvaus |
| msftprotection.onmicrosoft[.]com | Verkkotunnus | Haitallisen toimijan hallitsema aliverkkotunnus |
| IdentityVerification.onmicrosoft[.]com | Verkkotunnus | Haitallisen toimijan hallitsema aliverkkotunnus |
| accountsVerification.onmicrosoft[.]com | Verkkotunnus | Haitallisen toimijan hallitsema aliverkkotunnus |
| azuresecuritycenter.onmicrosoft[.]com | Verkkotunnus | Haitallisen toimijan hallitsema aliverkkotunnus |
| teamsprotection.onmicrosoft[.]com | Verkkotunnus | Haitallisen toimijan hallitsema aliverkkotunnus |
Voit kuitenkin suojata itsesi ja organisaatiosi Microsoft Teamsin manipulointihyökkäyksiltä noudattamalla näitä suosituksia:
- Pilota ja aloita käyttöönotto phishing-suojatut todennusmenetelmät käyttäjille.
- Toteuttaa Ehdollisen pääsyn todennuksen vahvuus vaatia phishing-suojattua todennusta työntekijöiltä ja ulkopuolisista käyttäjistä kriittisille sovelluksille.
- Määritä luotettavat Microsoft 365 -organisaatiot määrittääksesi, mitkä ulkoiset verkkotunnukset saavat keskustella tai tavata.
- Pitää Microsoft 365 auditointi käytössä, jotta tarkastustietueita voidaan tarvittaessa tutkia.
- Ymmärrä ja valitse parhaat pääsyasetukset ulkoiseen yhteistyöhön organisaatiollesi.
- Salli vain tunnetut laitteet jotka noudattavat Microsoftin suosittelemat suojauksen perusviivat.
- Kouluta käyttäjiä noin sosiaalinen suunnittelu ja tunnistetietojen kalasteluhyökkäykset, mukaan lukien kieltäytyminen antamasta MFA-koodeja, jotka on lähetetty minkä tahansa ei-toivotun viestin kautta.
- Opeta Microsoft Teams -käyttäjiä varmistamaan "ulkoiset" -tunnisteet ulkoisten tahojen viestintäyrityksissä, olemaan varovaisia jakamastaan eivätkä koskaan jaa tilitietojaan tai valtuuta kirjautumispyyntöjä chatin kautta.
- Kouluta käyttäjiä tarkista kirjautumistoiminta ja merkitse epäilyttävät kirjautumisyritykset "Tämä en ollut minä".
- Toteuttaa Ehdollisen pääsyn sovellusten hallinta Microsoft Defender for Cloud Appsissa käyttäjille, jotka muodostavat yhteyden hallitsemattomilta laitteilta.
Mitä mieltä olet näistä Microsoft Teamsin sosiaalisen manipuloinnin hyökkäyksistä? Kerro meille alla olevassa kommenttiosassa.
