Asurgent cybersäkerhetsblogg: Hotaktörer utnyttjar Microsoft Teams för att sprida skadlig kod

Hur attackerna går till

Angriparna använder en kombination av social manipulation och tekniska verktyg:

1. De översvämmar först en anställds inkorg med tusentals skräppostmeddelanden.
2. Därefter kontaktar de offret via Microsoft Teams och utger sig för att vara IT-support.
3. Under förevändning att hjälpa till med e-postproblemet lurar de den anställde att ge dem fjärråtkomst till datorn.
4. Väl inne i systemet installerar de skadlig programvara eller ransomware.

De identifierade grupperna

Säkerhetsföretaget Sophos har identifierat två grupper som använder denna metod:

• STAC5777: Kopplad till gruppen Storm-1811 och har observerats distribuera Black Basta ransomware.
• STAC5143: Använder liknande verktyg som den ryska gruppen FIN7, men riktar in sig på mindre organisationer.

Varför metoden är effektiv

Denna taktik utnyttjar flera sårbarheter:

• Standardinställningar i Microsoft Teams som tillåter externa användare att initiera samtal.
• Anställdas tillit till interna kommunikationsplattformar som Teams.
• Den stress och brådska som skapas av den initiala skräppostattacken

Skyddsåtgärder

För att skydda sig mot dessa attacker rekommenderas följande:

• Begränsa extern kommunikation i Microsoft Teams.
• Utbilda anställda om dessa nya typer av nätfiskeattacker.
• Implementera striktare åtkomstkontroller för fjärråtkomstverktyg.
• Aktivera säker länkskanning i Microsoft Defender

Dessa incidenter understryker vikten av ständig vaksamhet och uppdaterade säkerhetsrutiner i en tid då cyberbrottslingar kontinuerligt förfinar sina metoder.