Bu yaz gerçekleştirilen bir kampanyada, bir ilk erişim komisyoncusu (IAB), Microsoft Teams aracılığıyla kuruluşlara kimlik avı yapmak için açık kaynaklı bir kırmızı takım aracı kullandı ve bu, sonraki saldırıların önünü açtı.
TA543, Storm-0324 ve Sagrid olarak da bilinen sorumlu taraf, suçu fidye yazılımı gruplarına aktarmadan önce hedefleri aşmak için kimlik avı e-postaları kullandığı bilinen, finansal motivasyona sahip bir tehdit aktörüdür. Ancak son çabalarında, Microsoft tarafından 12 Eylül’de açıklandıfarklı bir yaklaşım benimsedi: TeamsPhisher olarak bilinen araç aracılığıyla, Microsoft’un işbirliği uygulamasını kullanarak şüphelenmeyenleri aldattı ve açıklıklarını yarattı.
Saldırılar, Teams platformunu etkileyen diğer ilgisiz güvenlik açıkları ve ihlallerle ilgili bir haber dalgasının ortasında gerçekleşti ve araştırmacıların ve bilgisayar korsanlarının, iş gücü ofise döndükten sonra bile iş iletişimi uygulamalarıyla daha fazla ilgilenmeye başladıklarına dair daha fazla kanıt sağladı.
Microsoft Teams’de Kimlik Avı Nasıl Yapılır?
Microsoft Teams genellikle kuruluşlar arasında değil, içinde kullanıldığından, örneğin başka bir Teams kiracısından (kuruluştan) bir kullanıcıya rastgele bir dosya göndermek normalde mümkün değildir.
Ancak araştırmacılar bir süredir bu engele geçici çözümler buluyorlar. Aralıkta, Medium’da açıklanan kırmızı bir ekip operatörü Buradaki küçük bir sahtekarlık ve bazı hileler, Teams sohbetindeki yeni bir sohbet başlatma veya düzenlenen bir mesajdaki “Düzenlendi” etiketini silme yeteneği gibi temel güvenlik kontrollerini nasıl zayıflatabilir?
Benzer şekilde, haziran ayında iki güvenlik araştırmacısı, güvenli olmayan doğrudan nesne referansı (IDOR) güvenlik açığına yönelik bir istismar geliştirdi; bu, Teams’in istemci tarafı güvenlik kontrollerini atlayarak dosyaları harici kiracılara göndermelerine olanak sağladı. Güvenlik açığını kabul eden Microsoft, araştırmacılara “hemen bakım çıtasını karşılamadığını” bildirdi.
Ve Temmuz ayında, kırmızı takım geliştiricisi Alex Reid, önceki araştırmacıların çalışmalarını birleştirerek harici Teams kiracılarına mesaj ve dosya gönderme sürecini basitleştirmeye yönelik bir araç olan TeamsPhisher’ı oluşturarak Microsoft’un yanıldığını kanıtladı. Github girişindeReid bunun ne kadar basit çalıştığını anlattı:
TeamsPhisher’a bir ek, bir mesaj ve hedef Teams kullanıcılarının listesini verin. Eki gönderenin Sharepoint’ine yükleyecek ve ardından hedef listesini yineleyecektir. TeamsPhisher öncelikle hedef kullanıcıyı numaralandıracak ve kullanıcının mevcut olduğundan ve harici mesajlar alabildiğinden emin olacaktır. Daha sonra hedef kullanıcı ile yeni bir thread oluşturacaktır… Göndericimiz ile hedef arasında oluşturulan yeni thread ile belirtilen mesaj kullanıcıya SharePoint’teki eklentinin linki ile birlikte gönderilecektir.
Microsoft’un araştırmasına göre Storm-0324 tehdit aktörü, yayınlandığı ay içinde araca saldırmış gibi görünüyor.
Bütün bunlar ileride kuruluşlar için sorun yaratabilir. Geçmişte Storm-0324, JSSLoader’ı dağıtmak için çoğunlukla yetkisiz kurumsal ağ erişimini kullanmış, ardından anahtarları kötü şöhretli finans ve fidye yazılımı aktörü FIN7’ye (diğer adıyla Sangria Tempest, ELBRUS, Carbon Spider, Carbanak Group ve Cobalt Group) teslim etmişti. ).
Ekiplere Yönelik Artan Siber Tehdit
Microsoft, blogunda Storm-0324’ün kampanyasını, farklı bir tehdit aktörü olan Midnight Blizzard (diğer adıyla Nobelium, APT29, UNC2452 ve Cozy Bear) tarafından yürütülen, Teams ortamlarını etkileyen başka bir kimlik avı kampanyasından ayırma ihtiyacı duydu.
SafeGuard Cyber’in tehdit istihbaratından sorumlu başkan yardımcısı Steven Spadaccini’ye göre, tehdit aktörlerinin Microsoft’un işbirliği uygulamasını giderek daha fazla hedef alması mantıklı geliyor.
“Günümüzde çoğu ticari iletişim, geleneksel e-postanın dışında, Microsoft Teams gibi işbirliği uygulamalarında gerçekleşiyor. Saldırganlar da bunu biliyor ve saldırı mekanizmalarını bu yüksek trafikli bulut işyeri kanallarına göre uyarlıyorlar” diyor ve şunu ekliyor: “uygulamanın diğerlerine yakınlığı Cihazın ve cihazdaki diğer uygulamaların tümü, cihazı ciddi sorunlar için potansiyel bir giriş noktası haline getiriyor ve hesabın ele geçirilmesi önemli bir güvenlik sorunudur.”
Aslında çoğu zaman kuruluşlar Teams ortamlarının ne kadar değerli olduğunun farkında bile değiller. Spadaccini, yakın zamanda bir sağlık şirketi için Teams kanalını denetleyen kişisel deneyiminden bahsediyor.
“Müşterinin iş iletişimlerinin %30’unun Teams’de gerçekleştiğini belirledik” diyor. “Bu, şirkete yönelik sürekli risk akışını ve veri sızması ve/veya fikri mülkiyet kaybı gibi potansiyel uzlaşma yollarını ölçüyor” diyor.
Ekip Tehditleri Hakkında Ne Yapmalı?
Morgan Franklin Consulting’in siber füzyon merkezi ve olay müdahalesi müdürü Justin Klein Keane’e göre Teams, diğer mesajlaşma ve üretkenlik platformlarında görülen tehditlerin boyutuyla henüz karşı karşıya değil.
“İşbirliği uygulamalarını kullanan hedefli saldırıları kesinlikle gözlemledik” diyor ve şöyle devam ediyor: “Ancak şaşırtıcı bir şekilde Teams, muhtemelen kurumsal kiracılığı ve Office 365 için Microsoft Defender ile entegrasyonu nedeniyle bu saldırıların bir parçası olmuyor. Teams üzerindeki kontroller (muhtemelen Microsoft’un Teams’e yapılan saldırıları tespit edebilmesine yol açar). Discord, Slack ve Telegram gibi diğer daha dağıtılmış platformlar, Güvenlik Operasyon Merkezimiz (SOC) tarafından saldırıların bileşenleri olarak gözlemlendi.”
TeamsPhisher ve ilgili saldırılar Yapmak Teams üzerinde meydana gelen sorunlar, Microsoft kiracısındaki kullanıcıların harici kiracıların kullanıcılarıyla etkileşime geçme yeteneğinin basitçe kapatılmasıyla önlenebilir. Ancak Spadaccini’ye göre bu, gerçek ve kapsamlı korumaya yönelik yalnızca bir başlangıç.
“Kullanıcıların hesap ayarlarının güvenliğini sağlamak, başlamak için iyi bir yer ancak kuruluşlar, kötü amaçlı etkinlikleri izlemek için Microsoft Teams iletişimlerinde tam görünürlük elde ederek ve politikalarını özelleştirmelerine olanak tanıyan çözümlerle Microsoft Teams güvenlik protokolleri oluşturarak bir adım daha ileri gidebilirler. ve bu politikaları hızla tüm kanala uygulayın” diyor. “Bir şirket potansiyel tehditleri her şeyi gören bir gözle görebilir ve bunları organizasyonu içindeki tek bir merkezden yönetebilirse, hiçbir riski görülmeden bırakamaz.”