Недавно на платформе произошла атака социальной инженерии Microsoft Teams.
4 минута. читать
Опубликовано
Поделиться этой статьей
Улучшите это руководство
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Недавно российский злоумышленник Midnight Blizzard провел атаку социальной инженерии на Microsoft Teams. Субъект угрозы, использовавшийся ранее скомпрометированные клиенты Microsoft 365 для создания новых доменов, которые отображаются как объекты технической поддержки. Под этой маскировкой Midnight Blizzard затем использует сообщения Teams, чтобы попытаться украсть учетные данные у организаций, привлекая пользователя и запрашивая одобрение запросов многофакторной аутентификации (MFA).
Всем организациям, использующим Microsoft Teams, рекомендуется усилить меры безопасности и рассматривать любые запросы проверки подлинности, не инициированные пользователем, как вредоносные.
Согласно их последнему расследованию, примерно менее 40 глобальных организаций пострадали от атаки социальной инженерии Microsoft Teams. Как и в случае с предыдущими атаками со стороны этих субъектов угроз, организации в основном представляли собой правительственные, неправительственные организации (НПО), ИТ-услуги, технологии, дискретное производство и медиа-секторы. Это имеет смысл, учитывая, что Midnight Blizzard — это действующее лицо, представляющее российскую угрозу, ранее приписываемое правительствами США и Великобритании Службе внешней разведки Российской Федерации.
Атаки произошли в мае 2023 года. Если вы помните, другой злоумышленник, Storm-0558, примерно в то же время нанес серьезный ущерб серверам Microsoft.
Однако Midnight Blizzard использует настоящие учетные данные Microsoft Teams из скомпрометированных учетных записей, чтобы попытаться убедить пользователей ввести код в приглашение на своем устройстве. Они делают это, маскируясь под службу технической поддержки или службы безопасности.
По словам Microsoft, Midnight Blizzard делает это в 3 этапа:
- Целевой пользователь может получить запрос сообщения Microsoft Teams от внешнего пользователя, выдающего себя за службу технической поддержки или службы безопасности.
- Если целевой пользователь принимает запрос сообщения, пользователь затем получает сообщение Microsoft Teams от злоумышленника, пытающегося убедить его ввести код в приложение Microsoft Authenticator на своем мобильном устройстве.
- Если целевой пользователь принимает запрос сообщения и вводит код в приложение Microsoft Authenticator, злоумышленнику предоставляется токен для аутентификации в качестве целевого пользователя. Субъект получает доступ к учетной записи Microsoft 365 пользователя, завершив процесс проверки подлинности.
Microsoft выпустила список имен электронной почты, с которыми вам следует быть осторожным:
Индикаторы компромисса
| Индикаторные | Тип | Описание |
| msftprotection.onmicrosoft[.]com | Доменное имя | Поддомен, контролируемый злоумышленником |
| identVerification.onmicrosoft[.]com | Доменное имя | Поддомен, контролируемый злоумышленником |
| accountVerification.onmicrosoft[.]com | Доменное имя | Поддомен, контролируемый злоумышленником |
| azuresecuritycenter.onmicrosoft[.]com | Доменное имя | Поддомен, контролируемый злоумышленником |
| teamprotection.onmicrosoft[.]com | Доменное имя | Поддомен, контролируемый злоумышленником |
Однако вы можете защитить себя и свою организацию от атак социальной инженерии Microsoft Teams, следуя этим рекомендациям:
- Пилотировать и начать развертывание методы аутентификации, устойчивые к фишингу для пользователей.
- Осуществлять Сила аутентификации условного доступа требовать защищенную от фишинга аутентификацию для сотрудников и внешних пользователей для критически важных приложений.
- Укажите доверенные организации Microsoft 365 чтобы определить, какие внешние домены разрешены или заблокированы для общения и встреч.
- Сохранить Аудит Microsoft 365 включено, чтобы при необходимости можно было исследовать записи аудита.
- Понять и выбрать лучшие настройки доступа для внешней совместной работы для вашей организации.
- Разрешить только известные устройства которые придерживаются Рекомендуемые Microsoft базовые уровни безопасности.
- Обучать пользователей в отношении социальная инженерия и фишинговые атаки с учетными данными, в том числе отказ от ввода кодов MFA, отправленных в любой форме незапрашиваемого сообщения.
- Обучите пользователей Microsoft Teams проверять пометку «Внешний» при попытках связи с внешними объектами, быть осторожными в отношении того, чем они делятся, и никогда не делиться информацией своей учетной записи и не разрешать запросы на вход через чат.
- Обучайте пользователей просмотреть активность входа и пометить подозрительные попытки входа как «Это был не я».
- Осуществлять Управление приложениями условного доступа в Microsoft Defender для облачных приложений для пользователей, подключающихся с неуправляемых устройств.
Что вы думаете об этих атаках социальной инженерии Microsoft Teams? Дайте нам знать в комментариях ниже.
