Son raporlar, bilgisayar korsanlarının kötü amaçlı yazılım yaymak için Microsoft Teams kullandığını gösteriyor. Saldırılar, son kullanıcının bilgisayarına bir trojan yüklemek için Teams sohbetlerine .exe dosyaları eklenerek gerçekleştirilir. Trojan daha sonra kötü amaçlı yazılım yüklemek için kullanılır. Lookout, olası taktikleri ve karşı önlemleri listeler.
“Bilgisayar korsanları tarafından kullanılan ilk taktik, çalışanlardan Microsoft paketindeki tüm uygulamalara erişim sağlayacak Microsoft 365 kimlik bilgilerini almaktır. Gözetleme verileri, saldırganların kullanıcılara öncelikle SMS, sosyal medya platformları, üçüncü taraf mesajlaşma uygulamaları, oyunlar ve hatta flört uygulamaları gibi mobil kanallar aracılığıyla eriştiğini gösteriyor. Lookout verilerine göre, 2021'de her çeyrekte kurumsal kullanıcıların ortalama yüzde 15,5'i kimlik avı saldırılarına maruz kaldı. Karşılaştırma için: 2020'de bu rakam yüzde 10,25'ti. Kimlik avı açıkça her işletme için büyüyen bir sorundur.
Geniş bir saldırı cephesi olarak Microsoft 365
Microsoft 365 bu kadar yaygın bir platform olduğundan, saldırganların kötü amaçlı Word dosyaları ve sahte oturum açma sayfaları kullanarak kullanıcıları hedefleyen sosyal olarak tasarlanmış kampanyalar oluşturması çok zor değil. İkinci taktik, üçüncü bir taraf kullanmaktır, örn. B. şirketin Teams platformuna erişim elde etmek için bir yükleniciyi tehlikeye atmak. Bu da her üçüncü taraf yazılım, kişi ve ekibin güvenliklerini sağlamak için detaylı bir güvenlik denetimine tabi tutulmasının ne kadar önemli olduğunu göstermektedir.
Bu saldırılar ne kadar ciddi?
Lookout'un araştırmasına göre, başarılı bir saldırı cihazın tamamen ele geçirilmesine yol açabilir. Bir saldırganın başlangıçta kimlik avı yoluyla erişim elde etme olasılığı yüksek olduğundan, sonunda güvenilir bir cihaz ve güvenilir kimlik bilgileri elde edebilir. Bu, bir saldırganın kullanıcı ve cihazın erişebildiği tüm verilere erişmesine izin verebilecek kötü amaçlı bir kombinasyondur.
Saldırgan altyapıya girdikten sonra yanlara doğru hareket edebilir ve en değerli varlıkların nerede saklandığını öğrenebilir. Oradan, bir fidye yazılımı saldırısı başlatmak için bu verileri şifreleyebilir veya karanlık ağda satmak için sızdırabilir. Bu saldırı zinciri, kuruluşların kullanıcılara, cihazlarına, erişmek istedikleri uygulamalara ve bunlarda depolanan verilere görünürlük ve erişim kontrolüne ihtiyaç duymasının nedenidir.
Ekipler: Önerilen önlemler
Bu saldırının doğası, kurumsal altyapı genelinde tüm uç noktaları, bulut kaynaklarını ve şirket içi veya özel uygulamaları korumanın önemini göstermektedir. Ağ çevresi kurumsal ortamın geleneksel sınırı olarak ortadan kalktıkça, kullanıcıların ve cihazların uygulamalar ve verilerle nasıl etkileşime girdiğini takip etmek giderek daha zor hale geliyor. Bu nedenle, hem mobil hem de PC uç noktalarının yanı sıra bulut hizmetlerini ve özel veya şirket içi yüklü uygulamaları dikkate alan birleşik bir platformun kullanılması gerekir. Günümüzün modern tehdit ortamına karşı gerekli düzeyde görünürlük ve koruma sağlamanın tek yolu budur.
Bu saldırı zincirinden yararlanmak isteyen saldırganların bir adım önünde olmak için her yerdeki kuruluşlar, Mobil Tehdit Savunması (MTD) ile mobil cihazlar için güvenlik uygulamalı ve Bulut Erişimi Güvenlik Aracısı (CASB) ile bulut hizmetlerini korumalıdır. Ayrıca Güvenli Web Ağ Geçidi (SWG) ile web trafiğini izlemeleri ve Sıfır Güvenilir Ağ Erişimi (ZTNA) ile şirket içi veya özel uygulamaları için modern güvenlik ilkelerini uygulamaları gerekir.
Platformlara yapılan saldırılar benzer taktikler kullanıyor
Belirli platformları hedef alan saldırıların nüansları vardır, ancak genel taktikler açıkça çok benzerdir. Herkese açık kanallar, Slack and Teams'de de işletilebilir ve bu kanallara katılmak için kişinin şirketin bir parçası olması gerekmez. Bu, hem yetkisiz erişim hem de veri kaybı açısından şirket için büyük bir risk oluşturuyor. Bu iki platforma, işbirliği platformlarına ve diğer uygulamalara erişim sağlama taktikleri genellikle oldukça benzerdir. Gerçek şu ki, kimlik avı bugün tehdit aktörleri için en uygun seçenek.
Bir saldırganın kurumsal uygulamalarda oturum açmak için geçerli kimlik bilgileri varsa, fark edilme ve durdurulma olasılığı daha düşüktür. Bu nedenle kuruluşlar, anormal girişleri, dosya etkinliğini ve kullanıcı davranışını tespit edebilen modernize edilmiş bir güvenlik stratejisine ihtiyaç duyuyor.”
Daha fazlası Lookout.com'da
Lookout Hakkında Lookout'un kurucu ortakları John Hering, Kevin Mahaffey ve James Burgess, 2007 yılında insanları giderek birbirine bağlanan bir dünyanın ortaya çıkardığı güvenlik ve gizlilik risklerinden korumak amacıyla bir araya geldi. Akıllı telefonlar herkesin cebine girmeden önce bile mobilitenin çalışma ve yaşama şeklimiz üzerinde derin bir etkisi olacağını anladılar.