Niedawno na platformie miał miejsce atak socjotechniczny Microsoft Teams
4 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Atak socjotechniczny Microsoft Teams został niedawno przeprowadzony na platformie przez rosyjskiego cyberprzestępcę, Midnight Blizzard. Aktor zagrożeń używany wcześniej zagrożonych dzierżawców platformy Microsoft 365 do tworzenia nowych domen, które pojawiają się jako podmioty pomocy technicznej. Pod tymi przykrywkami Midnight Blizzard używa następnie wiadomości Teams do próby kradzieży danych uwierzytelniających organizacji poprzez angażowanie użytkownika i uzyskiwanie zatwierdzenia monitów uwierzytelniania wieloskładnikowego (MFA).
Wszystkie organizacje korzystające z Microsoft Teams są zachęcane do wzmocnienia praktyk bezpieczeństwa i traktowania wszelkich żądań uwierzytelnienia, które nie zostały zainicjowane przez użytkownika, jako złośliwych.
Według ich ostatniego śledztwaokoło mniej niż 40 globalnych organizacji zostało dotkniętych atakiem socjotechnicznym usługi Microsoft Teams. Podobnie jak w przypadku poprzednich ataków ze strony tych cyberprzestępców, organizacjami były głównie rząd, organizacje pozarządowe (NGO), usługi IT, technologia, produkcja dyskretna i media. Ma to sens, biorąc pod uwagę, że Midnight Blizzard to rosyjskie zagrożenie, wcześniej przypisywane przez rządy USA i Wielkiej Brytanii jako Służba Wywiadu Zagranicznego Federacji Rosyjskiej.
Ataki miały miejsce w maju 2023 r. Jeśli pamiętasz, inny ugrupowanie cyberprzestępcze, Storm-0558, również wyrządził w tym czasie poważne szkody na serwerach Microsoftu.
Jednak Midnight Blizzard używa prawdziwych danych uwierzytelniających Microsoft Teams ze zhakowanych kont, aby przekonać użytkowników do wprowadzenia kodu w monicie na ich urządzeniu. Robią to, podszywając się pod zespół wsparcia technicznego lub bezpieczeństwa.
Według Microsoftu, Midnight Blizzard robi to w 3 krokach:
- Użytkownik docelowy może otrzymać żądanie wiadomości Microsoft Teams od użytkownika zewnętrznego podającego się za zespół pomocy technicznej lub ds. bezpieczeństwa.
- Jeśli użytkownik docelowy zaakceptuje żądanie wiadomości, otrzyma wiadomość Microsoft Teams od osoby atakującej, która próbuje przekonać go do wprowadzenia kodu w aplikacji Microsoft Authenticator na urządzeniu przenośnym.
- Jeśli docelowy użytkownik zaakceptuje żądanie wiadomości i wprowadzi kod do aplikacji Microsoft Authenticator, atakujący otrzyma token do uwierzytelnienia jako docelowy użytkownik. Aktor uzyskuje dostęp do konta Microsoft 365 użytkownika po zakończeniu procesu uwierzytelniania.
Firma Microsoft opublikowała listę nazw e-mail, na które należy uważać:
Wskaźniki kompromisu
Wskaźnik | Rodzaj Nieruchomości | Opis |
msftprotection.onmicrosoft[.]com | Nazwa domeny | Złośliwa subdomena kontrolowana przez aktora |
IdentityVerification.onmicrosoft[.]com | Nazwa domeny | Złośliwa subdomena kontrolowana przez aktora |
accountVerification.onmicrosoft[.]com | Nazwa domeny | Złośliwa subdomena kontrolowana przez aktora |
azuresecuritycenter.onmicrosoft[.]com | Nazwa domeny | Złośliwa subdomena kontrolowana przez aktora |
teamprotection.onmicrosoft[.]com | Nazwa domeny | Złośliwa subdomena kontrolowana przez aktora |
Możesz jednak chronić siebie i swoją organizację przed atakami socjotechnicznymi usługi Microsoft Teams, postępując zgodnie z tymi zaleceniami:
- Pilotuj i rozpocznij wdrażanie metody uwierzytelniania odporne na phishing dla użytkowników.
- Wdrożenie Siła uwierzytelniania dostępu warunkowego wymagać uwierzytelniania odpornego na phishing dla pracowników i użytkowników zewnętrznych dla krytycznych aplikacji.
- Określ zaufane organizacje Microsoft 365 aby określić, które domeny zewnętrzne mogą lub są blokowane do czatowania i spotykania się.
- Trzymać Audyt Microsoft 365 włączone, aby w razie potrzeby można było zbadać zapisy kontroli.
- Zrozumieć i wybrać najlepsze ustawienia dostępu do współpracy zewnętrznej dla Twojej organizacji.
- Zezwalaj tylko na znane urządzenia które trzymają się Zalecane przez firmę Microsoft punkty odniesienia zabezpieczeń.
- Edukuj użytkowników O Varso Invest inżynieria społeczna i ataki phishingowe na dane uwierzytelniające, w tym powstrzymanie się od wprowadzania kodów MFA wysyłanych w dowolnej formie niezamówionej wiadomości.
- Poinstruuj użytkowników Microsoft Teams, aby weryfikowali tagi „Zewnętrzne” przy próbach komunikacji z podmiotami zewnętrznymi, byli ostrożni w stosunku do tego, co udostępniają, i nigdy nie udostępniali informacji o swoim koncie ani nie autoryzowali żądań logowania przez czat.
- Edukuj użytkowników przejrzyj aktywność związaną z logowaniem i oznaczaj podejrzane próby logowania jako „To nie byłem ja”.
- Wdrożenie Kontrola aplikacji dostępu warunkowego w usłudze Microsoft Defender dla aplikacji w chmurze dla użytkowników łączących się z niezarządzanych urządzeń.
Co sądzisz o tych atakach socjotechnicznych na Microsoft Teams? Daj nam znać w sekcji komentarzy poniżej.