研究人員發(fā)現(xiàn)���,威脅行為者正通過在聊天線程中植入惡意文檔來針對Microsoft Teams用戶��,這些惡意文檔執(zhí)行木馬程序���,最終可以接管終端用戶的電腦。
據(jù)一份報(bào)告稱����,1月份,Check Point公司Avanan的研究人員開始跟蹤該活動(dòng)��,該活動(dòng)會(huì)在Teams對話中刪除惡意可執(zhí)行文件���,用戶點(diǎn)擊這些文件后���,這些文件最終會(huì)接管用戶的電腦����。
Avanan Jeremy Fuchs 的網(wǎng)絡(luò)安全研究員和分析師在一篇文章中寫道:“使用可執(zhí)行文件或包含系統(tǒng)執(zhí)行指令的文件����,黑客可以安裝DLL文件并允許程序自我管理和控制計(jì)算機(jī)。”“通過將文件附加到Teams攻擊中�����,黑客找到了一種輕松瞄準(zhǔn)數(shù)百萬用戶的新方法��。”
長期以來��,網(wǎng)絡(luò)犯罪分子一直瞄準(zhǔn)微軟無處不在的文檔創(chuàng)建和共享套件——傳統(tǒng)的Office及其基于云計(jì)算的版本Office 365——攻擊套件中的單個(gè)應(yīng)用程序�,如PowerPoint以及企業(yè)電子郵件泄露和其他詐騙。
現(xiàn)在�,Microsoft Teams(一種業(yè)務(wù)通信和協(xié)作套件)正在成為越來越受網(wǎng)絡(luò)犯罪歡迎的攻擊平臺(tái)。
這種興趣可能歸因于它在COVID-19大流行期間的使用量激增�,因?yàn)樵S多組織的遠(yuǎn)程工作員工都依賴該應(yīng)用程序進(jìn)行協(xié)作。事實(shí)上�����,Teams的每日活躍用戶數(shù)量幾乎翻了一番,從2020年4月的7500萬用戶增加到2021年第二季度的1.45億用戶���。
Fuchs指出��,針對Teams的最新活動(dòng)表明����,人們對協(xié)作應(yīng)用程序的理解有所增加��,這將使針對它的攻擊的復(fù)雜程度和數(shù)量都增加����。“隨著Teams使用量的不斷增加��,Avanan預(yù)計(jì)此類攻擊會(huì)顯著增加�,”他寫道。
入侵Teams
Fuchs指出���,為了在Teams中植入惡意文檔�,研究人員首先必須訪問該應(yīng)用程序�����。這可以通過多種方式實(shí)現(xiàn),利用網(wǎng)絡(luò)釣魚���,通過最初的電子郵件妥協(xié)來獲得證書或其他進(jìn)入網(wǎng)絡(luò)的途徑��。
Fuchs寫道:“他們可以損害合作伙伴組織的利益��,監(jiān)聽組織間的聊天���。”“他們可以泄露電子郵件地址并使用它來訪問Teams。他們可以竊取Microsoft 365憑據(jù)����,讓他們?nèi)珯?quán)訪問Teams和Office套件的其余部分。”
他指出����,一旦攻擊者獲得對Teams的訪問權(quán)限,就很容易導(dǎo)航并繞過任何安全保護(hù)措施���。這是因?yàn)?ldquo;缺乏默認(rèn)的Teams保護(hù)����,因?yàn)閷阂怄溄雍臀募膾呙枋艿较拗?rdquo;,并且“許多電子郵件安全解決方案無法為Teams提供強(qiáng)大的保護(hù)��。”
他說���,Teams很容易被黑客入侵的另一個(gè)原因是���,終端用戶理所當(dāng)然地信任該平臺(tái),在使用它時(shí)會(huì)隨意共享敏感甚至機(jī)密數(shù)據(jù)���。
Fuchs寫道:“例如�����,Avanan經(jīng)過對使用Teams的醫(yī)院的分析發(fā)現(xiàn)�,醫(yī)生在Teams平臺(tái)上幾乎不受限制地共享患者醫(yī)療信息���。”“醫(yī)務(wù)人員通常知道通過電子郵件共享信息的安全規(guī)則和風(fēng)險(xiǎn),但在涉及Teams時(shí)會(huì)忽略這些����。在他們看來,一切都可以通過Teams發(fā)送。”
此外��,幾乎每個(gè)Teams用戶都可以邀請來自其他部門或其他公司的人員通過該平臺(tái)進(jìn)行協(xié)作����,并且由于人們的信任,這些請求通常會(huì)受到“最小的監(jiān)督”����,他補(bǔ)充說。
特定的攻擊向量
在Avanan研究人員觀察到的攻擊向量中���,攻擊者首先通過上述方式之一訪問Teams�����,例如欺騙用戶的網(wǎng)絡(luò)釣魚電子郵件���,或通過對網(wǎng)絡(luò)的橫向攻擊。
然后�����,威脅行為者將一個(gè).exe文件附加到一個(gè)名為“以用戶為中心”的聊天中���,這實(shí)際上是一個(gè)特洛伊木馬���。對于最終用戶來說�����,它看起來是合法的�,因?yàn)樗坪鮼碜允苄湃蔚挠脩簟?/span>
“當(dāng)有人將文件附加到Teams聊天中時(shí)����,尤其是使用聽起來無害的文件名‘User Centric’時(shí),許多用戶不會(huì)三思而后行����,而是毫不猶豫地點(diǎn)擊它,”Fuchs寫道���。
他說��,如果發(fā)生這種情況��,可執(zhí)行文件將安裝DLL文件�,這些文件將惡意軟件安裝為Windows程序���,并創(chuàng)建快捷鏈接以在受害者的機(jī)器上進(jìn)行自我管理����。惡意軟件的最終目標(biāo)是接管機(jī)器并執(zhí)行其他惡意活動(dòng)�。
參考及來源:https://threatpost.com/microsoft-teams-targeted-takeover-trojans/178497/
文章來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761