Des rapports récents montrent que les pirates utilisent Microsoft Teams pour diffuser des logiciels malveillants. Les attaques sont menées en joignant des fichiers .exe aux chats Teams pour installer un cheval de Troie sur l'ordinateur de l'utilisateur final. Le cheval de Troie est ensuite utilisé pour installer des logiciels malveillants. Lookout répertorie les tactiques et les contre-mesures possibles.
« La première tactique utilisée par les hackers est d'obtenir des identifiants Microsoft 365 des employés, ce qui leur donnerait accès à toutes les applications de la suite Microsoft. Les données de Lookout montrent que les attaquants accèdent principalement aux utilisateurs via des canaux mobiles tels que les SMS, les plateformes de médias sociaux, les applications de messagerie tierces, les jeux et même les applications de rencontres. Selon les données de Lookout, en moyenne 2021 % des utilisateurs en entreprise ont été exposés à des attaques de phishing chaque trimestre en 15,5. À titre de comparaison : en 2020, le nombre était de 10,25 %. Le phishing est clairement un problème croissant pour toutes les entreprises.
Microsoft 365 en tant que large front d'attaque
Étant donné que Microsoft 365 est une plate-forme si répandue, il n'est pas très difficile pour les attaquants de créer des campagnes d'ingénierie sociale qui ciblent les utilisateurs utilisant des fichiers Word malveillants et de fausses pages de connexion. La deuxième tactique consiste à utiliser un tiers, par ex. B. pour compromettre un sous-traitant afin d'accéder à la plateforme Teams de l'entreprise. Cela montre à quel point il est important de soumettre chaque logiciel, personne et équipe tiers à un audit de sécurité détaillé pour assurer leur sécurité.
Quelle est la gravité de ces attaques ?
Selon l'étude de Lookout, une attaque réussie pourrait conduire à une prise de contrôle complète de l'appareil. Étant donné qu'il existe une forte probabilité qu'un attaquant ait initialement obtenu l'accès par hameçonnage, il pourrait éventuellement obtenir un appareil de confiance et des informations d'identification de confiance. Il s'agit d'une combinaison malveillante qui pourrait permettre à un attaquant d'accéder à toutes les données auxquelles l'utilisateur et l'appareil ont accès.
Une fois que l'attaquant a pénétré dans l'infrastructure, il peut se déplacer latéralement et découvrir où se cachent les actifs les plus précieux. À partir de là, il pourrait chiffrer ces données pour lancer une attaque de ransomware ou les exfiltrer pour les vendre sur le dark web. Cette chaîne d'attaques est la raison pour laquelle les organisations ont besoin de visibilité et de contrôle d'accès aux utilisateurs, à leurs appareils, aux applications auxquelles ils souhaitent accéder et aux données qui y sont stockées.
Équipes : mesures de protection recommandées
La nature de cette attaque démontre l'importance de protéger tous les terminaux, les ressources cloud et les applications sur site ou privées dans l'infrastructure de l'entreprise. Il devient de plus en plus difficile de suivre la façon dont les utilisateurs et les appareils interagissent avec les applications et les données à mesure que le périmètre du réseau disparaît en tant que frontière traditionnelle de l'environnement de l'entreprise. Par conséquent, l'utilisation d'une plate-forme unifiée prenant en compte à la fois les terminaux mobiles et PC ainsi que les services cloud et les applications installées privées ou sur site est requise. C'est le seul moyen de fournir le niveau requis de visibilité et de protection contre le paysage des menaces modernes d'aujourd'hui.
Pour garder une longueur d'avance sur les attaquants qui cherchent à exploiter cette chaîne d'attaques, les entreprises du monde entier doivent mettre en œuvre la sécurité des appareils mobiles avec Mobile Threat Defense (MTD) et protéger les services cloud avec Cloud Access Security Broker (CASB). Ils doivent également surveiller le trafic Web avec une passerelle Web sécurisée (SWG) et mettre en œuvre des politiques de sécurité modernes pour leurs applications sur site ou privées avec Zero Trust Network Access (ZTNA).
Les attaques sur les plates-formes utilisent des tactiques similaires
Les attaques ciblant des plates-formes spécifiques ont leurs nuances, mais les tactiques générales sont évidemment très similaires. Les chaînes publiques peuvent également être exploitées dans Slack et Teams, auxquelles il n'est pas nécessaire de faire partie de l'entreprise pour participer. Cela représente un risque énorme pour l'entreprise - à la fois pour l'accès non autorisé et pour la perte de données. Les tactiques pour accéder à ces deux plateformes, ainsi qu'aux plateformes de collaboration et autres applications, sont généralement assez similaires. Le fait est que le phishing est l'option la plus viable pour les acteurs de la menace aujourd'hui.
Si un attaquant dispose d'informations d'identification légitimes pour se connecter aux applications de l'entreprise, il est moins susceptible d'être remarqué et arrêté. Les organisations ont donc besoin d'une stratégie de sécurité modernisée capable de détecter les connexions anormales, l'activité des fichiers et le comportement des utilisateurs.
Plus sur Lookout.com
À propos de Lookout Les cofondateurs de Lookout, John Hering, Kevin Mahaffey et James Burgess, se sont réunis en 2007 dans le but de protéger les personnes contre les risques de sécurité et de confidentialité posés par un monde de plus en plus connecté. Avant même que les smartphones ne soient dans la poche de tout le monde, ils se sont rendus compte que la mobilité aurait un impact profond sur notre façon de travailler et de vivre.