這幾年來,微軟一直在推動旗下通訊服務 Microsoft Teams,尤其對企業用戶來說,這款通訊軟體能夠在團隊協作、溝通等生產力部分達到非常好的輔助效果。近日,安全研究人員警告,有些惡意人士正在侵入 Microsoft Teams 帳號以進入聊天群組中,並且向對話中的參與者傳送惡意的執行檔。
駭客侵入 Microsoft Teams 通訊軟體傳播惡意軟體
每個月都有超過 2.7 億人在 Microsoft Teams 上活動,雖然該平台在保護用戶不受惡意檔案滋擾的保護措施不足,還是有許多人對它抱持高度信任。近日安全研究單位 Check Point 旗下的 Avanan 研究人員發現,駭客開始在 Microsoft Teams 通訊平台的對話中偷渡內含惡意程式的執行檔。
這些攻擊從 1 月份開始出現,Avanan 檢測到數千次攻擊,Avanan 的研究人員 Carl Rogers 表示,根據現有數據中顯示大多數攻擊都是在美國五大湖地區的企業組織中發現,尤其是以當地媒體居多。另外 Avanan 說明,惡意人士會在聊天群組中插入一個內含木馬的「User Centric」的執行檔 (exe 檔案),誘使用戶點擊運行,你甚至不須下載,只要點兩下就會動作。一旦執行,該惡意軟體就會將數據寫入系統註冊表中,在 Windows 電腦中安裝 DLL 為未來持續利用鋪路。 另外,這個惡意程式還會收集有關作業系統及其電腦內硬體的詳細資訊,還有作業系統版本和安裝的修復程式等電腦安全狀態。
惡意人士獲取對 Teams 帳號的訪問授權方法目前仍不清楚,但推測可能透過包含網路釣魚或惡意合作夥伴組織來竊取電子郵件或 Microsoft 365 的憑證。Avanan 研究人員說,儘管這種攻擊非常簡單卻也可能非常有效,主因是許多用戶太過相信透過 Teams 接收到的檔案。此外,Teams 因為提供訪客與外部造訪功能允許企業外部人員進行協作,由於不熟悉 Teams 平台,很多人會直接信任並同意來自 Teams 的各種請求,使得惡意人士可以輕易偽裝成其他同事來取得大家的信任。
由於缺乏內建的 Teams 安全防護,加上掃描惡意連結和檔案受到限制,許多電子郵件安全解決方案無法為 Teams 提供保護,使得這個問題變得更加嚴重。為了防禦此類攻擊,Avanan 建議用戶採取以下措施:
• 保護要完整,將所有檔案下載到沙盒中並在打開前檢查它們是否存在惡意內容
• 部署強大的全套安全措施,以保護所有公司內部人員的通訊安全,包括 Teams
• 鼓勵公司裡的最終用戶在看到不熟悉的檔案時與 IT 人員聯繫
