Platformda yakın zamanda bir Microsoft Teams sosyal mühendislik saldırısı gerçekleşti
4 dk. okuman
Yayınlandı
MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla
Geçtiğimiz günlerde platformda Rus tehdit aktörü Midnight Blizzard tarafından bir Microsoft Teams sosyal mühendislik saldırısı gerçekleştirildi. Daha önce kullanılan tehdit aktörü güvenliği ihlal edilmiş Microsoft 365 kiracıları teknik destek varlıkları olarak görünen yeni etki alanları oluşturmak için. Bu kılık değiştirmeler altında Midnight Blizzard, Teams mesajlarını kullanarak bir kullanıcıyla etkileşime geçerek ve çok faktörlü kimlik doğrulama (MFA) istemlerinin onayını alarak kuruluşlardan kimlik bilgilerini çalmaya çalışır.
Microsoft Teams kullanan tüm kuruluşlar, güvenlik uygulamalarını güçlendirmeye ve kullanıcı tarafından başlatılmayan tüm kimlik doğrulama isteklerini kötü niyetli olarak değerlendirmeye teşvik edilir.
Son araştırmalarına göre, Microsoft Teams sosyal mühendislik saldırısından yaklaşık 40'tan az küresel kuruluş etkilendi. Bu tehdit aktörlerinin önceki saldırılarında olduğu gibi, kuruluşlar çoğunlukla devlet, sivil toplum kuruluşları (STK'lar), BT hizmetleri, teknoloji, ayrık üretim ve medya sektörleriydi. Midnight Blizzard'ın daha önce ABD ve Birleşik Krallık hükümetleri tarafından Rusya Federasyonu Dış İstihbarat Servisi olarak atfedilen bir Rus tehdidi aktörü olduğu düşünüldüğünde, bu mantıklı.
Saldırılar Mayıs 2023'te gerçekleşti. Hatırlarsanız bir başka tehdit aktörü olan Storm-0558, Microsoft'un sunucularına da o sıralarda ciddi zararlar vermişti.
Ancak Midnight Blizzard, kullanıcıları cihazlarındaki komut istemine kodu girmeye ikna etmek için güvenliği ihlal edilmiş hesaplardan alınan gerçek Microsoft Teams kimlik bilgilerini kullanır. Bunu teknik destek veya güvenlik ekibi kılığına girerek yaparlar.
Microsoft'a göre Midnight Blizzard bunu 3 adımda yapıyor:
- Hedef kullanıcı, kendisini teknik destek veya güvenlik ekibi olarak tanıtan harici bir kullanıcıdan Microsoft Teams ileti isteği alabilir.
- Hedef kullanıcı mesaj isteğini kabul ederse, saldırgandan kendisini mobil cihazındaki Microsoft Authenticator uygulamasına bir kod girmeye ikna etmeye çalışan bir Microsoft Teams mesajı alır.
- Hedeflenen kullanıcı mesaj isteğini kabul eder ve kodu Microsoft Authenticator uygulamasına girerse, tehdit aktörüne hedeflenen kullanıcı olarak kimliğini doğrulaması için bir belirteç verilir. Aktör, kimlik doğrulama akışını tamamladıktan sonra kullanıcının Microsoft 365 hesabına erişim kazanır.
Microsoft, dikkat etmeniz gereken e-posta adlarının bir listesini yayınladı:
Uzlaşma göstergeleri
Gösterge | Tip | Açıklama |
msftprotection.onmicrosoft[.]com | Alan adı | Kötü amaçlı aktör tarafından kontrol edilen alt alan adı |
kimlikVerifikasyonu.onmicrosoft[.]com | Alan adı | Kötü amaçlı aktör tarafından kontrol edilen alt alan adı |
accountVerification.onmicrosoft[.]com | Alan adı | Kötü amaçlı aktör tarafından kontrol edilen alt alan adı |
azuresecuritycenter.onmicrosoft[.]com | Alan adı | Kötü amaçlı aktör tarafından kontrol edilen alt alan adı |
teamprotection.onmicrosoft[.]com | Alan adı | Kötü amaçlı aktör tarafından kontrol edilen alt alan adı |
Ancak, aşağıdaki önerileri izleyerek kendinizi ve kuruluşunuzu Microsoft Teams sosyal mühendislik saldırılarından koruyabilirsiniz:
- Pilot uygulama yapın ve dağıtmaya başlayın kimlik avına dayanıklı kimlik doğrulama yöntemleri kullanıcılar için.
- Uygulamak Koşullu Erişim kimlik doğrulama gücü kritik uygulamalar için çalışanlar ve harici kullanıcılar için kimlik avına dayanıklı kimlik doğrulaması gerektirmek.
- Güvenilir Microsoft 365 kuruluşlarını belirtin hangi harici alanların sohbet etmesine ve buluşmasına izin verildiğini veya engellendiğini tanımlamak için.
- tutmak Microsoft 365 denetimi gerektiğinde denetim kayıtlarının incelenebilmesi için etkinleştirildi.
- Anlayın ve seçin harici işbirliği için en iyi erişim ayarları kuruluşunuz için.
- Yalnızca bilinen cihazlara izin ver bağlı Microsoft'un önerilen güvenlik temelleri.
- Kullanıcıları eğitin hakkında sosyal mühendislik ve herhangi bir istenmeyen mesaj yoluyla gönderilen MFA kodlarını girmekten kaçınma da dahil olmak üzere kimlik bilgilerine yönelik kimlik avı saldırıları.
- Microsoft Teams kullanıcılarını, harici varlıklardan gelen iletişim girişimlerinde "Harici" etiketlemeyi doğrulamaları, paylaştıklarına dikkat etmeleri ve asla hesap bilgilerini paylaşmamaları veya oturum açma isteklerini sohbet üzerinden yetkilendirmemeleri konusunda eğitin.
- Kullanıcıları eğitin oturum açma etkinliğini gözden geçir ve şüpheli oturum açma girişimlerini "Bu ben değildim" olarak işaretleyin.
- Uygulamak Bulut Uygulamaları için Microsoft Defender'da Koşullu Erişim Uygulama Denetimi yönetilmeyen cihazlardan bağlanan kullanıcılar için.
Bu Microsoft Teams sosyal mühendislik saldırıları hakkında ne düşünüyorsunuz? Aşağıdaki yorumlar bölümünde bize bildirin.