Багато органів влади та компаній використовують продукти Microsoft, зокрема, дуже популярним є асортимент продуктів Microsoft Office із командами, також у хмарній версії. Як показали раніше експерти з безпеки Proofpoint, ця хмарна міграція приносить нові кіберризики, такі як фішинг, викрадені логіни та ідентифікаційні дані.
Наразі зловмисники все частіше націлюються на хмарні середовища та служби та намагаються використати існуючі прогалини та вразливості безпеки для власних цілей. В останні місяці та роки кіберзлочинці використовували служби Microsoft для атак і, наприклад, ефективно використовували Microsoft Sway як зброю, минаючи заходи безпеки.
Багато програм Microsoft піддаються атаці
🔎 Десять найбільш атакуваних програм для входу від Microsoft у другій половині 2022 року (Зображення: Proofpoint).
Sway — далеко не єдиний додаток Microsoft, яким зловживають кіберзлочинці. Дослідники безпеки Proofpoint нещодавно проаналізували понад 450 мільйонів атак, націлених на хмарних клієнтів Microsoft 2022 у другій половині 365 року. За результатами аналізу Microsoft Teams увійшла до десятки найбільш часто атакуваних програм. Майже 40 відсотків атакованих організацій мали принаймні одну неавторизовану спробу входу.
Достатній привід для Proofpoint придивитися до програми Microsoft Teams. Під час свого розслідування експерти виявили численні методи зловживання Microsoft Teams, які кіберзлочинці ефективно використовують для фішингу облікових даних M365, розповсюдження небезпечних виконуваних файлів і поширення свого доступу в скомпрометованому хмарному середовищі. Ці тактики включають:
- Методи видавання себе за іншу особу та маніпуляції після компрометації облікового запису, зокрема використання вкладок для фішингу або розповсюдження зловмисного програмного забезпечення.
- Зловживання запрошеннями на зустріч шляхом заміни стандартних URL-адрес шкідливими посиланнями.
- Зловживання повідомленнями шляхом заміни існуючих URL-адрес шкідливими посиланнями.
Методи атаки, перевірені Proofpoint, вимагають доступу до скомпрометованого облікового запису користувача або токена teams. До 2022 року близько 60 відсотків передплатників M365 матимуть принаймні один успішний контроль над обліковим записом. Як наслідок, для зловмисників, які базуються на можливостях Teams, є значний потенціал для проникнення в системи-жертви після компрометації.
Передплатники M365: акаунти зламані на 60 відсотків
Аналіз минулих атак і поточних тенденцій у середовищі хмарних загроз також показує, що зловмисники все частіше застосовують більш просунуті методи атак. Використання нових методів і інструментів атак у поєднанні з очевидними недоліками безпеки, включно з небезпечними функціями сторонніх додатків, наражає організації на різноманітні великі ризики.
Крім того, кіберзлочинці постійно шукають нові способи викрадення облікових даних користувачів і отримання доступу до облікових записів користувачів. Як показує останнє дослідження Proofpoint, Microsoft Teams можна використовувати як платформу для різних форм хмарних атак, оскільки це законна та популярна хмарна програма.
Експерти Proofpoint опублікували повне розслідування в блозі, в якому методи атаки детально пояснюються за допомогою скріншотів.
Більше на Proofpoint.com
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.