这几年来,微软一直在推动旗下通讯服务 Microsoft Teams,尤其对企业用户来说,这款通讯软体能够在团队协作、沟通等生产力部分达到非常好的辅助效果。近日,安全研究人员警告,有些恶意人士正在侵入 Microsoft Teams 帐号以进入聊天群组中,并且向对话中的参与者传送恶意的执行档。
骇客侵入 Microsoft Teams 通讯软体传播恶意软体
每个月都有超过 2.7 亿人在 Microsoft Teams 上活动,虽然该平台在保护用户不受恶意档案滋扰的保护措施不足,还是有许多人对它抱持高度信任。近日安全研究单位 Check Point 旗下的 Avanan 研究人员发现,骇客开始在 Microsoft Teams 通讯平台的对话中偷渡内含恶意程式的执行档。
这些攻击从 1 月份开始出现,Avanan 检测到数千次攻击,Avanan 的研究人员 Carl Rogers 表示,根据现有数据中显示大多数攻击都是在美国五大湖地区的企业组织中发现,尤其是以当地媒体居多。另外 Avanan 说明,恶意人士会在聊天群组中插入一个内含木马的「User Centric」的执行档 (exe 档案),诱使用户点击运行,你甚至不须下载,只要点两下就会动作。一旦执行,该恶意软体就会将数据写入系统注册表中,在 Windows 电脑中安装 DLL 为未来持续利用铺路。 另外,这个恶意程式还会收集有关作业系统及其电脑内硬体的详细资讯,还有作业系统版本和安装的修复程式等电脑安全状态。
恶意人士获取对 Teams 帐号的访问授权方法目前仍不清楚,但推测可能透过包含网路钓鱼或恶意合作夥伴组织来窃取电子邮件或 Microsoft 365 的凭证。Avanan 研究人员说,尽管这种攻击非常简单却也可能非常有效,主因是许多用户太过相信透过 Teams 接收到的档案。此外,Teams 因为提供访客与外部造访功能允许企业外部人员进行协作,由於不熟悉 Teams 平台,很多人会直接信任并同意来自 Teams 的各种请求,使得恶意人士可以轻易伪装成其他同事来取得大家的信任。
由於缺乏内建的 Teams 安全防护,加上扫描恶意连结和档案受到限制,许多电子邮件安全解决方案无法为 Teams 提供保护,使得这个问题变得更加严重。为了防御此类攻击,Avanan 建议用户采取以下措施:
• 保护要完整,将所有档案下载到沙盒中并在打开前检查它们是否存在恶意内容
• 部署强大的全套安全措施,以保护所有公司内部人员的通讯安全,包括 Teams
• 鼓励公司里的最终用户在看到不熟悉的档案时与 IT 人员联系