研究人员发现,威胁行为者正通过在聊天线程中植入恶意文档来针对Microsoft Teams用户,这些恶意文档执行木马程序,最终可以接管终端用户的电脑。
据一份报告称,1月份,Check Point公司Avanan的研究人员开始跟踪该活动,该活动会在Teams对话中删除恶意可执行文件,用户点击这些文件后,这些文件最终会接管用户的电脑。
Avanan Jeremy Fuchs 的网络安全研究员和分析师在一篇文章中写道:“使用可执行文件或包含系统执行指令的文件,黑客可以安装DLL文件并允许程序自我管理和控制计算机。”“通过将文件附加到Teams攻击中,黑客找到了一种轻松瞄准数百万用户的新方法。”
长期以来,网络犯罪分子一直瞄准微软无处不在的文档创建和共享套件——传统的Office及其基于云计算的版本Office 365——攻击套件中的单个应用程序,如PowerPoint以及企业电子邮件泄露和其他诈骗。
现在,Microsoft Teams(一种业务通信和协作套件)正在成为越来越受网络犯罪欢迎的攻击平台。
这种兴趣可能归因于它在COVID-19大流行期间的使用量激增,因为许多组织的远程工作员工都依赖该应用程序进行协作。事实上,Teams的每日活跃用户数量几乎翻了一番,从2020年4月的7500万用户增加到2021年第二季度的1.45亿用户。
Fuchs指出,针对Teams的最新活动表明,人们对协作应用程序的理解有所增加,这将使针对它的攻击的复杂程度和数量都增加。“随着Teams使用量的不断增加,Avanan预计此类攻击会显著增加,”他写道。
入侵Teams
Fuchs指出,为了在Teams中植入恶意文档,研究人员首先必须访问该应用程序。这可以通过多种方式实现,利用网络钓鱼,通过最初的电子邮件妥协来获得证书或其他进入网络的途径。
Fuchs写道:“他们可以损害合作伙伴组织的利益,监听组织间的聊天。”“他们可以泄露电子邮件地址并使用它来访问Teams。他们可以窃取Microsoft 365凭据,让他们全权访问Teams和Office套件的其余部分。”
他指出,一旦攻击者获得对Teams的访问权限,就很容易导航并绕过任何安全保护措施。这是因为“缺乏默认的Teams保护,因为对恶意链接和文件的扫描受到限制”,并且“许多电子邮件安全解决方案无法为Teams提供强大的保护。”
他说,Teams很容易被黑客入侵的另一个原因是,终端用户理所当然地信任该平台,在使用它时会随意共享敏感甚至机密数据。
Fuchs写道:“例如,Avanan经过对使用Teams的医院的分析发现,医生在Teams平台上几乎不受限制地共享患者医疗信息。”“医务人员通常知道通过电子邮件共享信息的安全规则和风险,但在涉及Teams时会忽略这些。在他们看来,一切都可以通过Teams发送。”
此外,几乎每个Teams用户都可以邀请来自其他部门或其他公司的人员通过该平台进行协作,并且由于人们的信任,这些请求通常会受到“最小的监督”,他补充说。
特定的攻击向量
在Avanan研究人员观察到的攻击向量中,攻击者首先通过上述方式之一访问Teams,例如欺骗用户的网络钓鱼电子邮件,或通过对网络的横向攻击。
然后,威胁行为者将一个.exe文件附加到一个名为“以用户为中心”的聊天中,这实际上是一个特洛伊木马。对于最终用户来说,它看起来是合法的,因为它似乎来自受信任的用户。
“当有人将文件附加到Teams聊天中时,尤其是使用听起来无害的文件名‘User Centric’时,许多用户不会三思而后行,而是毫不犹豫地点击它,”Fuchs写道。
他说,如果发生这种情况,可执行文件将安装DLL文件,这些文件将恶意软件安装为Windows程序,并创建快捷链接以在受害者的机器上进行自我管理。恶意软件的最终目标是接管机器并执行其他恶意活动。
本文翻译自:https://threatpost.com/microsoft-teams-targeted-takeover-trojans/178497/如若转载,请注明原文地址。
