Рабочий чат превратился в криминальный притон? Microsoft Teams — новый фронт кибервойны
NewsMakerТеперь даже обыкновенный созвон может стоить вам всех данных.
Мессенджер Microsoft Teams, широко используемый для корпоративного общения, стал удобной площадкой для кибератак. По данным команды Microsoft Threat Intelligence, злоумышленники активно используют эту платформу для самых разных целей — от сбора сведений и социальной инженерии до доставки вредоносного кода и кражи данных.
Teams представляет интерес для как финансово мотивированных группировок, так и для атакующих, действующих в интересах государств. Уязвимость этой среды обусловлена тем, что её можно эксплуатировать на всех этапах атаки. Microsoft рекомендует администраторам усиливать защиту не только на уровне идентификации и конечных точек, но также применять строгие меры на уровне приложений и сетевой инфраструктуры.
На первом этапе злоумышленники занимаются разведкой, изучая слабозащищённые учётные записи, группы и арендаторов. При отключённом режиме конфиденциальности можно получить сведения о статусе пользователей и даже попытаться присоединиться к внешним встречам. Кроме того, существуют инструменты с открытым исходным кодом, которые позволяют фильтровать и систематизировать полученную информацию. На этом фоне особенно уязвимы внешние участники, гости и анонимные пользователи.
На стадии подготовки атаки могут применяться методы социальной инженерии. Киберпреступники создают поддельные учётные записи, копируют фирменный стиль компаний, чтобы убедительно изображать службу поддержки или администратора. Иногда доходят до покупки настоящих арендаторов, если атака обещает быть выгодной. В качестве каналов атаки используются как текстовые чаты, так и звонки, в которых фигурируют правдоподобные легенды и убедительные предлоги.
Особую опасность представляют случаи, когда через Teams распространяется вредоносное ПО, способное красть учётные данные и вызывать заражение системой программами-вымогателями. Одним из приёмов остаётся имитация техподдержки с предложением установить инструменты удалённого доступа вроде AnyDesk. В некоторых случаях в чате могут появляться ссылки, ведущие на вредоносные сайты или поддельные страницы загрузки, замаскированные под Teams. Широко применяются и специализированные утилиты, например TeamsPhisher или AADInternals, с помощью которых вредоносный код доставляется напрямую.
Некоторые атакующие добавляют гостевые учётные записи, используют ярлыки в папке автозагрузки или функцию «залипание клавиш», чтобы закрепиться в системе даже после обнаружения вторжения. Особо привлекательными целями остаются администраторы, поскольку их полномочия позволяют использовать расширенные инструменты. Однако атакам подвергаются и обычные пользователи — достаточно, чтобы они открыли заражённый файл или кликнули по ссылке.
После получения доступа начинается этап хищения информации. Нападающие используют полученные инструменты для перехвата токенов, обхода двухфакторной аутентификации и анализа API-ответов, чтобы понять структуру Teams-среды и наметить пути дальнейшего продвижения по сети. Получив сведения о ролях, группах и устройствах, можно перейти к горизонтальному распространению, в том числе за счёт внешнего взаимодействия и использования взломанных учётных записей для маскировки под сотрудников других компаний.
Отдельные группы прибегали к обману, убеждая жертв установить соединение и предоставить удалённый доступ. В некоторых случаях им удавалось переключиться на хранилища OneDrive или SharePoint, чтобы получить доступ к данным, связанным с захваченной учётной записью.
Также зафиксированы случаи использования Teams в качестве канала управления — команды передавались напрямую через сообщения или внедрённые данные. Бывали ситуации, когда вымогательские требования направлялись прямо через корпоративный мессенджер, как это делала группа Octo Tempest, рассылавшая угрозы и издевательские сообщения с целью усилить давление на пострадавшие организации.
Несмотря на то, что Teams — не единственная платформа, подвергающаяся подобной эксплуатации, Microsoft подчёркивает необходимость комплексной защиты, включая усиление контроля доступа, мониторинг активности и настройку фильтрации контента.
Мессенджер Microsoft Teams, широко используемый для корпоративного общения, стал удобной площадкой для кибератак. По данным команды Microsoft Threat Intelligence, злоумышленники активно используют эту платформу для самых разных целей — от сбора сведений и социальной инженерии до доставки вредоносного кода и кражи данных.
Teams представляет интерес для как финансово мотивированных группировок, так и для атакующих, действующих в интересах государств. Уязвимость этой среды обусловлена тем, что её можно эксплуатировать на всех этапах атаки. Microsoft рекомендует администраторам усиливать защиту не только на уровне идентификации и конечных точек, но также применять строгие меры на уровне приложений и сетевой инфраструктуры.
На первом этапе злоумышленники занимаются разведкой, изучая слабозащищённые учётные записи, группы и арендаторов. При отключённом режиме конфиденциальности можно получить сведения о статусе пользователей и даже попытаться присоединиться к внешним встречам. Кроме того, существуют инструменты с открытым исходным кодом, которые позволяют фильтровать и систематизировать полученную информацию. На этом фоне особенно уязвимы внешние участники, гости и анонимные пользователи.
На стадии подготовки атаки могут применяться методы социальной инженерии. Киберпреступники создают поддельные учётные записи, копируют фирменный стиль компаний, чтобы убедительно изображать службу поддержки или администратора. Иногда доходят до покупки настоящих арендаторов, если атака обещает быть выгодной. В качестве каналов атаки используются как текстовые чаты, так и звонки, в которых фигурируют правдоподобные легенды и убедительные предлоги.
Особую опасность представляют случаи, когда через Teams распространяется вредоносное ПО, способное красть учётные данные и вызывать заражение системой программами-вымогателями. Одним из приёмов остаётся имитация техподдержки с предложением установить инструменты удалённого доступа вроде AnyDesk. В некоторых случаях в чате могут появляться ссылки, ведущие на вредоносные сайты или поддельные страницы загрузки, замаскированные под Teams. Широко применяются и специализированные утилиты, например TeamsPhisher или AADInternals, с помощью которых вредоносный код доставляется напрямую.
Некоторые атакующие добавляют гостевые учётные записи, используют ярлыки в папке автозагрузки или функцию «залипание клавиш», чтобы закрепиться в системе даже после обнаружения вторжения. Особо привлекательными целями остаются администраторы, поскольку их полномочия позволяют использовать расширенные инструменты. Однако атакам подвергаются и обычные пользователи — достаточно, чтобы они открыли заражённый файл или кликнули по ссылке.
После получения доступа начинается этап хищения информации. Нападающие используют полученные инструменты для перехвата токенов, обхода двухфакторной аутентификации и анализа API-ответов, чтобы понять структуру Teams-среды и наметить пути дальнейшего продвижения по сети. Получив сведения о ролях, группах и устройствах, можно перейти к горизонтальному распространению, в том числе за счёт внешнего взаимодействия и использования взломанных учётных записей для маскировки под сотрудников других компаний.
Отдельные группы прибегали к обману, убеждая жертв установить соединение и предоставить удалённый доступ. В некоторых случаях им удавалось переключиться на хранилища OneDrive или SharePoint, чтобы получить доступ к данным, связанным с захваченной учётной записью.
Также зафиксированы случаи использования Teams в качестве канала управления — команды передавались напрямую через сообщения или внедрённые данные. Бывали ситуации, когда вымогательские требования направлялись прямо через корпоративный мессенджер, как это делала группа Octo Tempest, рассылавшая угрозы и издевательские сообщения с целью усилить давление на пострадавшие организации.
Несмотря на то, что Teams — не единственная платформа, подвергающаяся подобной эксплуатации, Microsoft подчёркивает необходимость комплексной защиты, включая усиление контроля доступа, мониторинг активности и настройку фильтрации контента.