Một cuộc tấn công kỹ thuật xã hội của Microsoft Teams đã xảy ra gần đây trên nền tảng này
4 phút đọc
Được đăng trên
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Gần đây, một cuộc tấn công kỹ thuật xã hội của Microsoft Teams đã được thực hiện bởi tác nhân đe dọa người Nga, Midnight Blizzard, trên nền tảng này. Tác nhân đe dọa đã sử dụng trước đây đối tượng thuê Microsoft 365 bị xâm phạm để tạo các miền mới xuất hiện dưới dạng thực thể hỗ trợ kỹ thuật. Dưới những ngụy trang này, Midnight Blizzard sau đó sử dụng các thông báo của Nhóm để cố gắng đánh cắp thông tin xác thực từ các tổ chức bằng cách thu hút người dùng và thu hút sự chấp thuận của lời nhắc xác thực đa yếu tố (MFA).
Tất cả các tổ chức đang sử dụng Microsoft Teams đều được khuyến khích củng cố các biện pháp bảo mật và coi mọi yêu cầu xác thực không phải do người dùng khởi xướng là độc hại.
Theo điều tra mới nhất của họ, có khoảng dưới 40 tổ chức toàn cầu bị ảnh hưởng bởi cuộc tấn công kỹ thuật xã hội của Microsoft Teams. Cũng như các cuộc tấn công trước đây từ các tác nhân đe dọa này, các tổ chức chủ yếu là chính phủ, tổ chức phi chính phủ (NGO), dịch vụ CNTT, công nghệ, sản xuất rời rạc và lĩnh vực truyền thông. Điều này có ý nghĩa, vì Midnight Blizzard là một tác nhân đe dọa đến Nga, trước đây được chính phủ Hoa Kỳ và Vương quốc Anh quy cho là Cơ quan Tình báo Nước ngoài của Liên bang Nga.
Các cuộc tấn công xảy ra vào tháng 2023 năm 0558. Nếu bạn còn nhớ, một tác nhân đe dọa khác, Storm-XNUMX, cũng đã gây ra một số thiệt hại nghiêm trọng cho các máy chủ của Microsoft vào khoảng thời gian đó.
Tuy nhiên, Midnight Blizzard sử dụng thông tin đăng nhập Microsoft Teams thực từ các tài khoản bị xâm nhập để thuyết phục người dùng nhập mã vào lời nhắc trên thiết bị của họ. Họ làm như vậy bằng cách giả dạng là một nhóm hỗ trợ kỹ thuật hoặc bảo mật.
Theo Microsoft, Midnight Blizzard làm như vậy theo 3 bước:
- Người dùng mục tiêu có thể nhận được yêu cầu tin nhắn Microsoft Teams từ người dùng bên ngoài giả làm nhóm bảo mật hoặc hỗ trợ kỹ thuật.
- Nếu người dùng mục tiêu chấp nhận yêu cầu tin nhắn, thì người dùng đó sẽ nhận được tin nhắn Microsoft Teams từ kẻ tấn công đang cố thuyết phục họ nhập mã vào ứng dụng Microsoft Authenticator trên thiết bị di động của họ.
- Nếu người dùng được nhắm mục tiêu chấp nhận yêu cầu tin nhắn và nhập mã vào ứng dụng Microsoft Authenticator, thì tác nhân đe dọa sẽ được cấp mã thông báo để xác thực là người dùng được nhắm mục tiêu. Tác nhân giành được quyền truy cập vào tài khoản Microsoft 365 của người dùng sau khi hoàn thành quy trình xác thực.
Microsoft đã phát hành một danh sách các tên email mà bạn nên cẩn thận:
Các chỉ số thỏa hiệp
chỉ số | Kiểu | Mô tả |
msftprotection.onmicrosoft[.]com | Tên miền | Tên miền phụ do diễn viên độc hại kiểm soát |
danh tínhVerification.onmicrosoft[.]com | Tên miền | Tên miền phụ do diễn viên độc hại kiểm soát |
tài khoảnVerification.onmicrosoft[.]com | Tên miền | Tên miền phụ do diễn viên độc hại kiểm soát |
azuresecuritycenter.onmicrosoft[.]com | Tên miền | Tên miền phụ do diễn viên độc hại kiểm soát |
teamprotection.onmicrosoft[.]com | Tên miền | Tên miền phụ do diễn viên độc hại kiểm soát |
Tuy nhiên, bạn có thể bảo vệ bản thân và tổ chức của mình khỏi các cuộc tấn công kỹ thuật xã hội của Microsoft Teams bằng cách làm theo các đề xuất sau:
- Thí điểm và bắt đầu triển khai phương pháp xác thực chống lừa đảo cho người dùng.
- Thực hiện Cường độ xác thực Truy cập có điều kiện để yêu cầu xác thực chống lừa đảo đối với nhân viên và người dùng bên ngoài đối với các ứng dụng quan trọng.
- Chỉ định các tổ chức Microsoft 365 đáng tin cậy để xác định miền bên ngoài nào được phép hoặc bị chặn để trò chuyện và gặp gỡ.
- Giữ Kiểm tra Microsoft 365 được kích hoạt để hồ sơ kiểm toán có thể được điều tra nếu cần.
- Tìm hiểu và lựa chọn cài đặt truy cập tốt nhất cho cộng tác bên ngoài cho tổ chức của bạn.
- Chỉ cho phép các thiết bị đã biết tuân theo Đường cơ sở bảo mật được đề xuất của Microsoft.
- Giáo dục người dùng về kỹ thuật xã hội và các cuộc tấn công lừa đảo thông tin xác thực, bao gồm cả việc không nhập mã MFA được gửi qua bất kỳ dạng tin nhắn không mong muốn nào.
- Hướng dẫn người dùng Microsoft Teams xác minh gắn thẻ 'Bên ngoài' khi cố gắng liên lạc từ các thực thể bên ngoài, thận trọng với những gì họ chia sẻ và không bao giờ chia sẻ thông tin tài khoản của họ hoặc ủy quyền yêu cầu đăng nhập qua trò chuyện.
- Giáo dục người dùng để xem lại hoạt động đăng nhập và đánh dấu các nỗ lực đăng nhập đáng ngờ là “Đây không phải là tôi”.
- Thực hiện Kiểm soát ứng dụng truy cập có điều kiện trong Bộ bảo vệ Microsoft dành cho ứng dụng đám mây cho người dùng kết nối từ các thiết bị không được quản lý.
Bạn nghĩ gì về các cuộc tấn công kỹ thuật xã hội của Nhóm Microsoft này? Cho chúng tôi biết trong phần ý kiến dưới đây.