Författare
Simon Olsson
Hampus Hardeborn
SOC @ Asurgent
Read time
1 min
18 september 2023
Under sommaren genomförde en grupp cyberkriminella en våg av attacker mot Microsoft Teams, de som låg bakom dessa attacker använde sig av open source verktyget TeamsPhisher. TeamsPhisher används för att phisha organisationer via Microsoft Teams. Detta har väckt oro och satt fokus på säkerhetsriskerna för Microsoft Teams då denna plattform används av många organisationer för intern kommunikation.
Storm-0324 är huvudsakliga hotaktören bakom den nya vågen av attacker genom TeamsPhisher. Storm-0324 går under olika namn som TA543, och Sagrid och är finansiellt motiverad hotaktör. Deras tidigare angrepp har ofta involverat phishing-e-post som en initial attackvektor, följt av ransomware-attacker.
Storm-0324 nya attackvektor TeamsPhisher.
Genom TeamsPhisher kan en angripare välja att skicka en bifogad fil, ett meddelanden eller målgrupper för olika användare i Teams.
Detta gör det möjligt för angriparen att phisha användare genom att öppna filen och infektera deras system med skadlig kod. Därför är det viktigt att vara medveten hotet TeamsPhisher och ta försiktighetsåtgärder för att skydda sig mot dem.
Storm-0324:s - TeamsPhisher
Enligt forskare på Microsofts började Storm-0324 använda sig av TeamsPhisher omedelbart vid publicering av i juli då verktyget publicerades. Genom att använda detta verktyg har Storm-0324 fått nya attackvektorer som öppnat nya dörrar till organisationer som inte är redo för denna typ av attack.
Attacken från Storm-0324 är bara ett exempel på det ökande hotet mot Microsoft Teams. Plattformen har blivit ett attraktivt mål för cyberkriminalitet. Många företag använder Teams som sitt primära kommunikationsverktyg, och detta har gjort det till en lockande måltavla för angripare. Attacker mot Teams kommer att bli vanligare eftersom organisationer har en bristande medvetenhet och kunskap för att sårbarheter mot Teams. Dessutom är Teams integrerat med andra Microsoft 365 tjänster och dvs om angriparen får tillgång till Teams kan de potentiellt komma åt andra företagsdata och system.
För att skydda sig mot TeamsPhisher behöver man inaktivera den externa kommunikations åtkomst för Microsoft Teams. Detta för att minimera risken att användare blir phishade av TeamsPhisher.
För att säkra sina miljöer är det rekommenderat att organisationer tar ett steg längre i sin övervakning av kommunikation i Teams. Titta efter skadliga mönster, kontrollera att säkerhetsprotokoll är på plats och anpassa sina säkerhetspolicyer för att minimera risken att Teams blir exponerat.
Källor:
https://github.com/Octoberfest7/TeamsPhisher
https://www.darkreading.com/application-security/microsoft-teams-hacks-storm-0324-teamsphisher
Prenumerera på vårt nyhetsbrev för att ha koll på senaste nytt inom molnsfären.