En ny type cyber-angreb breder sig over Microsofts udbredte chat-platform Teams.
Det der starter med at være en tilsyneladende uskyldig henvendelse fra ’it-afdelingen’ om at ens konto skal opdateres, viser sig i virkeligheden at være en hacker, der forsøger at snyde sig til fjernkontrol over offerets enhed.
Det er Microsoft selv, der advarer om den nye type phishing-angreb i en rapport, hvor et stigende antal angreb med Teams' samarbejdsfunktioner benyttes som såkaldte angrebsvektor.
Det skriver sikkerhedsmediet Bleeping Computer.
Microsoft noterer i rapporten, at angrebet kan målrettes til at lænse en organisations mest følsomme data og samtidig minimere sandsynligheden for, at det bliver opdaget.
Microsoft anbefaler nu, at administratorer begrænser brugen af fjernsupport-værktøjer, mens der samtidig føres skarp kontrol med, hvem der kan modtage eksterne Teams-henvendelser.
Selskabet opfordrer til at medarbejdere som udgangspunkt anser eksterne Teams-kontakter som risikofyldte. Her påpeges, at voice-phishing også er set anvendt.
Rapporten præciserer ikke omfanget af denne type angreb, ud over at det har registreret at ’aktører i stigende omfang misbruger Microsoft Teams samarbejdsværktøjer til at udgive sig for it- eller helpdesk-personale,’ lyder det.
Et Teams-angreb - trin for trin
I rapporten ’Cross‑tenant helpdesk impersonation to data exfiltration: A human-operated intrusion playbook’ detaljerer Microsoft hvordan angrebet kan udføres i ni trin.
Indledningsvis kontaktes offeret over Teams, typisk ved at udgive sig som en support-funktion som ’Help Desk’ eller ’It-support’, hvor der varsles om behov for at installere en vigtig opdatering eller at udføre en konto-verifikation.
Herefter giver brugeren fjernadgange via værktøjet Quick Assist, hvor hackeren overbeviser brugeren om at der kan ses bort fra Windows-systemets sikkerhedsadvarsler.
Når hackeren er sluset ind, kan han på under to minutter få overblik over kontoen rettigheder og adgang. Er brugerrettighederne til det, kan malware eller andet ondsindet kode smugles ind i system via signerede programmer som Adobe Acrobat eller Autodesk. Det, som kaldes 'living of the land'-angreb, hvor legitime programmer bruges af hackere, hvilket gør det sværere at detektere.
Konfigurationen skjules efterfølgende i Windows Registry, hvorefter systemet efterfølgende kan sende udvalgte krypterede data over virksomhedens netværk ud til en skjult server.
Efter at have kompromitteret sin første enhed i netværket kan angriberen bevæge sig videre i organisationens netværk. Flere fjernstyringsværktøjer kan også installeres for at undgå at blive smidt ud af netværket.
Til sidst kan hackeren bruge synkroniseringsværktøjer såsom Rclone til at kopiere følsomme oplysninger ud til en ekstern cloud-tjeneste.
