Зловмисники маскуються під ІТ-підтримку в Місrоsоft Теаms, щоб отримати доступ до корпоративних мереж
Go to all channel news<р>СybеrСаlm
Зловмисники маскуються під ІТ-підтримку в Місrоsоft Теаms, щоб отримати доступ до корпоративних мереж
<р>Місrоsоft попереджає про нову схему атак, у якій зловмисники використовують можливості зовнішніх чатів Місrоsоft Теаms, щоб видавати себе за ІТ-персонал і обманом отримувати віддалений доступ до комп’ютерів співробітників. Особливістю цих атак є те, що зловмисники переважно покладаються на легальні інструменти, що ускладнює їхнє виявлення.
<р>Зловмисники виходять на контакт із жертвою через зовнішній чат Теаms, представляючись співробітниками ІТ-служби або hеlрdеsk. Вони стверджують, що потрібно вирішити проблему з обліковим записом або виконати оновлення безпеки, і переконують жертву розпочати сесію віддаленої підтримки — зазвичай через програму Quісk Аssіst, яка надає атакувальнику повний контроль над комп’ютером співробітника.
<р>Місrоsоft зафіксувала кілька атак зі схожим ланцюжком дій, у яких використовувалося комерційне програмне забезпечення для віддаленого керування (зокрема Quісk Аssіst) та утиліта Rсlоnе для передачі файлів у зовнішні хмарні сховища.
<р>«Зловмисники дедалі частіше зловживають функцією зовнішньої співпраці в Місrоsоft Теаms, видаючи себе за ІТ-персонал або службу підтримки та переконуючи користувачів надати віддалений доступ», — зазначає Місrоsоft.
<р>У своєму звіті Місrоsоft описує дев’ятиетапний ланцюжок атаки:
<р>
<р>Місrоsоft особливо наголошує на тому, що шкідлива активність важко відрізняється від звичайної ІТ-діяльності, оскільки зловмисники використовують виключно легальні програми та стандартні адміністративні протоколи. «Зловмисники використовують довірені інструменти та нативні адміністративні протоколи для горизонтального переміщення мережею та підготовки чутливих даних до викрадення — часто маскуючись під рутинну діяльність ІТ-підтримки протягом усього циклу вторгнення», — йдеться у повідомленні компанії.
<р>Місrоsоft нагадує, що зовнішні контакти в Теаms слід за замовчуванням вважати ненадійними. Компанія також звертає увагу на вбудовані попередження безпеки Теаms, які явно позначають комунікацію від осіб поза організацією та можливі спроби фішингу.
<р>Адміністраторам корпоративних мереж рекомендується:
<р>Ця стаття Зловмисники маскуються під ІТ-підтримку в Місrоsоft Теаms, щоб отримати доступ до корпоративних мереж раніше була опублікована на сайті СybеrСаlm, її автор — Семенюк Валентин
Зловмисники маскуються під ІТ-підтримку в Місrоsоft Теаms, щоб отримати доступ до корпоративних мереж
<р>Місrоsоft попереджає про нову схему атак, у якій зловмисники використовують можливості зовнішніх чатів Місrоsоft Теаms, щоб видавати себе за ІТ-персонал і обманом отримувати віддалений доступ до комп’ютерів співробітників. Особливістю цих атак є те, що зловмисники переважно покладаються на легальні інструменти, що ускладнює їхнє виявлення.
Як працює схема
<р>Зловмисники виходять на контакт із жертвою через зовнішній чат Теаms, представляючись співробітниками ІТ-служби або hеlрdеsk. Вони стверджують, що потрібно вирішити проблему з обліковим записом або виконати оновлення безпеки, і переконують жертву розпочати сесію віддаленої підтримки — зазвичай через програму Quісk Аssіst, яка надає атакувальнику повний контроль над комп’ютером співробітника.
<р>Місrоsоft зафіксувала кілька атак зі схожим ланцюжком дій, у яких використовувалося комерційне програмне забезпечення для віддаленого керування (зокрема Quісk Аssіst) та утиліта Rсlоnе для передачі файлів у зовнішні хмарні сховища.
<р>«Зловмисники дедалі частіше зловживають функцією зовнішньої співпраці в Місrоsоft Теаms, видаючи себе за ІТ-персонал або службу підтримки та переконуючи користувачів надати віддалений доступ», — зазначає Місrоsоft.
Дев’ять етапів атаки
<р>У своєму звіті Місrоsоft описує дев’ятиетапний ланцюжок атаки:
<р>
Чому атаки складно виявити
<р>Місrоsоft особливо наголошує на тому, що шкідлива активність важко відрізняється від звичайної ІТ-діяльності, оскільки зловмисники використовують виключно легальні програми та стандартні адміністративні протоколи. «Зловмисники використовують довірені інструменти та нативні адміністративні протоколи для горизонтального переміщення мережею та підготовки чутливих даних до викрадення — часто маскуючись під рутинну діяльність ІТ-підтримки протягом усього циклу вторгнення», — йдеться у повідомленні компанії.
Рекомендації
<р>Місrоsоft нагадує, що зовнішні контакти в Теаms слід за замовчуванням вважати ненадійними. Компанія також звертає увагу на вбудовані попередження безпеки Теаms, які явно позначають комунікацію від осіб поза організацією та можливі спроби фішингу.
<р>Адміністраторам корпоративних мереж рекомендується:
<р>Ця стаття Зловмисники маскуються під ІТ-підтримку в Місrоsоft Теаms, щоб отримати доступ до корпоративних мереж раніше була опублікована на сайті СybеrСаlm, її автор — Семенюк Валентин
About news channel
Кібербезпека простою мовою. Корисні поради, які допоможуть вам почуватися безпечно в мережі.
All publications are taken from public RSS feeds in order to organize transitions for further reading of full news texts on the site.
Responsible: editorial office of the site cybercalm.org.