首页 > 安全 > 正文

威胁演员利用Microsoft团队传播恶意软件

最后更新 :2022.02.24

攻击者妥协了Microsoft团队账户以附加恶意可执行文件来聊天并将其传播给对话的参与者。

虽然Microsoft团队的普及继续增长,但每月大约有2.7亿个活跃的用户,威胁演员开始了用它作为攻击矢量。

从1月2022年1月开始,来自Avanan的安全研究人员损害了Microsoft团队的攻击者,将恶意可执行文件附加到聊天和感染与会者的谈话中。

在专家观察到的攻击中,威胁演员插入了.exe文件名为“以用户为中心”聊天以尝试欺骗参与者打开它。打开可执行文件后,恶意代码将安装DLL文件并创建快捷键链接到自动管理。

从1月2022年开始,Avanan观察了黑客如何在团队对话中删除恶意可执行文件。file将数据写入Windows注册表,安装DLL文件并创建允许程序到自动管理的快捷方式链接。Avanan每月见过数千次这些攻击。阅读Avanan发布的分析。在此攻击简介中,Avanan将分析Microsoft团队中的黑客如何使用这些。

Microsoft Teams专家认为攻击者可以通过妥协推动攻击合作组织和组织间聊天的聆听。在另一个攻击场景中,威胁演员可以危及电子邮件地址并将其用来访问团队。一旦攻击者获得了Microsoft 365凭据,例如从先前的网络钓鱼活动或数据漏洞,可以访问团队和其他办公室应用程序。

一旦攻击者获得了对组织的访问权限,它们可以确定安装的防御解决方案并使用适当的恶意软件来绕过现有保护。

复合这一点问题是缺少默认团队保护,因为扫描恶意链接和文件是有限的。此外,许多电子邮件安全解决方案对团队不提供强大的保护。继续分析。Hackers,谁可以通过东西攻击访问团队账户,或利用他们在其他网络钓鱼攻击中收获的凭据,有Blanche推出针对数百万毫无戒心的用户的攻击。 

研究人员也是如此解释说,在一些特定的比赛中,用户对可以使用团队作为矢量的威胁感知。 Avanan专家分析了在内部员工使用这项技术分享患者医疗信息的医院中使用Microsoft团队忽略通过团队的开放文件关联的风险。

大多数员工已经接受过电子邮件中的第二次猜测身份,但很少知道如何确保他们看到的名称和照片团队对接ation是真实的。编辑配置文件很简单,并成为您喜欢的大多数人。因此,当有人将文件附加到团队聊天时,特别是在“用户中心”的无害声音文件名,许多用户不会两次思考,并会单击它。结束了报告。这种攻击表明,随着团队的使用继续增加,黑客开始理解和更好地利用团队作为潜在的攻击向量,Avanan预计这些攻击的显着增加。

以下是列表Avanan提供的建议:

•实施保护的保护,下载沙箱中的所有文件,并检查它们以进行恶意内容•部署强大,全套安全性,可保护所有业务通信,包括团队•在看到一个不熟悉的文件时,鼓励最终用户达到它

- END -

看更多