Microsoft Teams kimlik avı: Fidye yazılımı erişim komisyoncusu tarafından hedef alınan kuruluşlar


Fidye yazılımı çetelerine kurumsal sistemlere ilk erişim olanağı sağlamasıyla bilinen bir tehdit aktörü, Microsoft Teams aracılığıyla çalışanlara kimlik avı yapıyor.

Microsoft tehdit araştırmacıları, “Bu etkinlik için Storm-0324 büyük olasılıkla TeamsPhisher adlı halka açık bir araca güveniyor” dedi.

Storm-0324 Hakkında

Storm-0324, Microsoft tarafından bu özel tehdit aktörüne atanan geçici bir addır ve şirketin, operasyonun arkasındaki aktörün kökeni veya kimliği konusunda henüz yüksek düzeyde bir güvene ulaşamadığını göstermektedir.

Bildikleri şey, Storm-0324’ün 8 yılı aşkın süredir ortalıkta olduğu ve daha önce bankacılık truva atları (Gootkit, Dridex), bilgi çalan kötü amaçlı yazılımlar (IcedID) gibi çeşitli kötü amaçlı yazılım yüklerini dağıtmak için yararlanma kiti ve e-posta tabanlı vektörler kullandığıdır. , Gozi), fidye yazılımı (Sage, GandCrab) ve Trickbot.

Microsoft, Storm-0324’ün Temmuz 2023’te Teams üzerinden kötü amaçlı bağlantılar içeren ve SharePoint tarafından barındırılan kötü amaçlı bir dosyaya yol açan kimlik avı tuzaklarını kullanmaya başladığını söylüyor; ancak dosyanın hangi kötü amaçlı yükü taşıdığını söylemiyorlar.

Ayrıca bu özel kimlik avı kampanyasının, bir Rus APT grubu tarafından gerçekleştirilen benzer bir kampanyayla ilişkili olmadığını da belirttiler.

Kuruluşunuzu Microsoft Teams kimlik avı ve fidye yazılımlarına karşı koruyun

Araştırmacılar, “Storm-0324’ün diğer tehdit aktörlerine erişimi devre dışı bırakması nedeniyle, Storm-0324 aktivitesinin tespit edilmesi ve iyileştirilmesi, fidye yazılımı gibi daha tehlikeli takip eden saldırıları önleyebilir” diye uyardı ve kurumsal savunuculara koruma tavsiyeleri ve arama sorguları sağladı.

Microsoft daha önce bu saldırılara izin veren Microsoft Teams güvenlik açığının “anında müdahale çıtasını karşılamadığını” söylemişti.

Ancak kurumsal yöneticiler bu tehdidi en aza indirmek için harici kiracıların çalışanlarıyla iletişim kurmasını imkansız hale getirmek veya güvenlik ayarlarını yalnızca izin verilenler listesindeki belirli alan adlarıyla iletişime izin verecek şekilde değiştirmek gibi adımlar atabilir. (İkincisi, iletişime geçmesine izin verilen harici bir kiracının güvenliği ihlal edilmişse yardımcı olmayacaktır.)

Microsoft ayrıca bu tehditlere karşı daha iyi savunma sağlamak için çeşitli iyileştirmeler yaptığını da belirtiyor.

Gerçek olmayan veya hileli davranışlarla ilişkili olarak tanımlanan hesapları ve kiracıları askıya almanın yanı sıra, Teams kullanıcılarının daha iyi iletişim kurabilmesi için bir kullanıcının ve e-posta adresinin dışsallığını vurgulamak amacıyla Teams içindeki bire bir sohbetlerdeki Kabul Et/Engelle deneyimini de geliştirdiler. Bilinmeyen veya kötü niyetli gönderenlerle etkileşime girmeyerek dikkatli olun.

Ayrıca, “kiracılar içinde etki alanlarının oluşturulmasına ilişkin yeni kısıtlamalar ve kiracıları içinde yeni etki alanları oluşturulduğunda kiracı yöneticilerine yönelik iyileştirilmiş bildirimler” vardır.



Source link