安全公司Proofpoint的研究人员发现攻击者利用MicrosoftTeams进行社会工程攻击,包括篡改选项卡以进行凭证钓鱼、利用TeamsAPI下载恶意软件和修改会议链接。这些策略可能在账户已被盗用的情况下发生,导致用户不知不觉访问恶意网站或下载恶意软件。
Proofpoint的安全研究人员发现了几种通过社会工程有效滥用Microsoft Teams的新方法。
微软今天早些时候发布的一份报告称:“最近分析了超过4.5亿个恶意会话,这些会话在2022年下半年被检测到,目标是微软365云租户。”
微软表示:“根据我们的调查结果,微软Teams是十大最具针对性的登录应用程序之一,近40%的目标组织至少有一次未经授权的登录尝试试图获得访问权限。”
Proofpoint团队观察到的第一种技术是使用选项卡,通过在Teams通道或聊天中操纵选项卡来访问敏感信息。他们可能会重命名一个选项卡,使其看起来像一个现有的选项卡,然后将其引导到恶意网站。这是用于凭据网络钓鱼的常用策略。
报告称:“我们发现,在账户泄露之后,标签操纵可能是一种强大的、基本上是自动化的攻击媒介的一部分。”
通常,用户可以随意重命名选项卡,只要新名称不与现有选项卡名称重叠。此外,用户可能会被限制重新定位标签,把它们放在默认标签之前。
标签也被用于即时恶意软件下载,攻击者创建自定义标签,自动将文件下载到用户的设备上,潜在地传播恶意软件。
Proofpoint进一步观察到,攻击者试图使用Teams API调用来操纵会议邀请,将默认链接替换为恶意链接。这可能导致用户在不知情的情况下访问网络钓鱼页面或下载恶意软件。
最后,发现威胁参与者使用Teams API或用户界面修改已发送消息中的现有链接。在这种情况下,呈现的超链接保持不变,但底层URL被更改为将用户引导到恶意网站或恶意资源。
Proofpoint报告澄清说:“重要的是要注意,上述滥用方法需要预先访问受损用户帐户或Teams令牌。”
尽管如此,大约60%的微软365租户在2022年至少遭遇了一次成功的账户接管事件。因此,这些方法的潜在扩散将为威胁行为者提供妥协后横向移动的有效可能性。
扫一扫
2119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
