研究人員發(fā)現(xiàn)，威脅行為者正通過(guò)在聊天線程中植入惡意文檔來(lái)針對(duì)Microsoft Teams用戶，這些惡意文檔執(zhí)行木馬程序，最終可以接管終端用戶的電腦。

據(jù)一份報(bào)告稱，1月份，Check Point公司Avanan的研究人員開(kāi)始跟蹤該活動(dòng)，該活動(dòng)會(huì)在Teams對(duì)話中刪除惡意可執(zhí)行文件，用戶點(diǎn)擊這些文件后，這些文件最終會(huì)接管用戶的電腦。

Avanan Jeremy Fuchs 的網(wǎng)絡(luò)安全研究員和分析師在一篇文章中寫(xiě)道：“使用可執(zhí)行文件或包含系統(tǒng)執(zhí)行指令的文件，黑客可以安裝DLL文件并允許程序自我管理和控制計(jì)算機(jī)。”“通過(guò)將文件附加到Teams攻擊中，黑客找到了一種輕松瞄準(zhǔn)數(shù)百萬(wàn)用戶的新方法。”

長(zhǎng)期以來(lái)，網(wǎng)絡(luò)犯罪分子一直瞄準(zhǔn)微軟無(wú)處不在的文檔創(chuàng)建和共享套件——傳統(tǒng)的Office及其基于云計(jì)算的版本Office 365——攻擊套件中的單個(gè)應(yīng)用程序，如PowerPoint以及企業(yè)電子郵件泄露和其他詐騙。

現(xiàn)在，Microsoft Teams(一種業(yè)務(wù)通信和協(xié)作套件)正在成為越來(lái)越受網(wǎng)絡(luò)犯罪歡迎的攻擊平臺(tái)。

這種興趣可能歸因于它在COVID-19大流行期間的使用量激增，因?yàn)樵S多組織的遠(yuǎn)程工作員工都依賴該應(yīng)用程序進(jìn)行協(xié)作。事實(shí)上，Teams的每日活躍用戶數(shù)量幾乎翻了一番，從2020年4月的7500萬(wàn)用戶增加到2021年第二季度的1.45億用戶。

Fuchs指出，針對(duì)Teams的最新活動(dòng)表明，人們對(duì)協(xié)作應(yīng)用程序的理解有所增加，這將使針對(duì)它的攻擊的復(fù)雜程度和數(shù)量都增加。“隨著Teams使用量的不斷增加，Avanan預(yù)計(jì)此類攻擊會(huì)顯著增加，”他寫(xiě)道。

入侵Teams

Fuchs指出，為了在Teams中植入惡意文檔，研究人員首先必須訪問(wèn)該應(yīng)用程序。這可以通過(guò)多種方式實(shí)現(xiàn)，利用網(wǎng)絡(luò)釣魚(yú)，通過(guò)最初的電子郵件妥協(xié)來(lái)獲得證書(shū)或其他進(jìn)入網(wǎng)絡(luò)的途徑。

Fuchs寫(xiě)道：“他們可以損害合作伙伴組織的利益，監(jiān)聽(tīng)組織間的聊天。”“他們可以泄露電子郵件地址并使用它來(lái)訪問(wèn)Teams。他們可以竊取Microsoft 365憑據(jù)，讓他們?nèi)珯?quán)訪問(wèn)Teams和Office套件的其余部分。”

他指出，一旦攻擊者獲得對(duì)Teams的訪問(wèn)權(quán)限，就很容易導(dǎo)航并繞過(guò)任何安全保護(hù)措施。這是因?yàn)椤叭狈δJ(rèn)的Teams保護(hù)，因?yàn)閷?duì)惡意鏈接和文件的掃描受到限制”，并且“許多電子郵件安全解決方案無(wú)法為T(mén)eams提供強(qiáng)大的保護(hù)。”

他說(shuō)，Teams很容易被黑客入侵的另一個(gè)原因是，終端用戶理所當(dāng)然地信任該平臺(tái)，在使用它時(shí)會(huì)隨意共享敏感甚至機(jī)密數(shù)據(jù)。

Fuchs寫(xiě)道：“例如，Avanan經(jīng)過(guò)對(duì)使用Teams的醫(yī)院的分析發(fā)現(xiàn)，醫(yī)生在Teams平臺(tái)上幾乎不受限制地共享患者醫(yī)療信息。”“醫(yī)務(wù)人員通常知道通過(guò)電子郵件共享信息的安全規(guī)則和風(fēng)險(xiǎn)，但在涉及Teams時(shí)會(huì)忽略這些。在他們看來(lái)，一切都可以通過(guò)Teams發(fā)送。”

此外，幾乎每個(gè)Teams用戶都可以邀請(qǐng)來(lái)自其他部門(mén)或其他公司的人員通過(guò)該平臺(tái)進(jìn)行協(xié)作，并且由于人們的信任，這些請(qǐng)求通常會(huì)受到“最小的監(jiān)督”，他補(bǔ)充說(shuō)。

特定的攻擊向量

在Avanan研究人員觀察到的攻擊向量中，攻擊者首先通過(guò)上述方式之一訪問(wèn)Teams，例如欺騙用戶的網(wǎng)絡(luò)釣魚(yú)電子郵件，或通過(guò)對(duì)網(wǎng)絡(luò)的橫向攻擊。

然后，威脅行為者將一個(gè).exe文件附加到一個(gè)名為“以用戶為中心”的聊天中，這實(shí)際上是一個(gè)特洛伊木馬。對(duì)于最終用戶來(lái)說(shuō)，它看起來(lái)是合法的，因?yàn)樗坪鮼?lái)自受信任的用戶。

“當(dāng)有人將文件附加到Teams聊天中時(shí)，尤其是使用聽(tīng)起來(lái)無(wú)害的文件名‘User Centric’時(shí)，許多用戶不會(huì)三思而后行，而是毫不猶豫地點(diǎn)擊它，”Fuchs寫(xiě)道。

他說(shuō)，如果發(fā)生這種情況，可執(zhí)行文件將安裝DLL文件，這些文件將惡意軟件安裝為Windows程序，并創(chuàng)建快捷鏈接以在受害者的機(jī)器上進(jìn)行自我管理。惡意軟件的最終目標(biāo)是接管機(jī)器并執(zhí)行其他惡意活動(dòng)。

本文翻譯自：https://threatpost.com/microsoft-teams-targeted-takeover-trojans/178497/如若轉(zhuǎn)載，請(qǐng)注明原文地址。