Security

Cross-tenant Teams lažno predstavljanje napad

3 min čitanja

Sažetak

Microsoft je detaljno opisao lanac upada kojim upravljaju napadači, u kome koriste cross-tenant Microsoft Teams ćaskanja da se predstave kao helpdesk osoblje i prevare korisnike da odobre udaljeni pristup kroz alate kao što je Quick Assist. Ova kampanja je značajna jer kombinuje legitimne alate za saradnju, udaljenu podršku i administraciju kako bi omogućila lateral movement, persistence i data exfiltration, dok sve izgleda kao uobičajena IT aktivnost.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Microsoft je objavio novo istraživanje pretnji koje opisuje kako napadači zloupotrebljavaju spoljne Microsoft Teams razgovore da bi se predstavili kao IT ili helpdesk osoblje. Za IT i bezbednosne timove, ovo je važan podsetnik da moderni phishing i social engineering više ne počinju samo putem e-pošte — mogu započeti unutar pouzdanih alata za saradnju i brzo eskalirati u kompromitovanje celog preduzeća.

Šta je novo

Microsoftov izveštaj prikazuje kompletan human-operated intrusion playbook koji počinje cross-tenant Teams porukama, a završava se data exfiltration.

Lanac napada koji je istakao Microsoft

  • Početni kontakt preko Teams: Napadači se predstavljaju kao osoblje podrške koristeći eksternu Teams komunikaciju.
  • Uporište kroz udaljenu pomoć: Žrtve se ubeđuju da pokrenu Quick Assist ili slične alate za udaljenu podršku i odobre pristup.
  • Reconnaissance i potvrda pristupa: Napadači brzo proveravaju korisničke privilegije, detalje sistema i nivo pristupa.
  • Zloupotreba pouzdanih aplikacija: Aplikacije potpisane od strane dobavljača pokreću se sa modulima koje obezbeđuje napadač kako bi izvršile maliciozni kod.
  • Command and control: Napadači uspostavljaju postojan pristup dok se uklapaju u uobičajene administrativne aktivnosti.
  • Lateral movement: Izvorni alati kao što je WinRM koriste se za dalje kretanje ka vrednim resursima, uključujući domain controllers.
  • Naknadni alati: Može biti postavljen komercijalni softver za udaljeno upravljanje kao što je Level RMM.
  • Data exfiltration: Alati kao što je Rclone koriste se za pripremu i prenos osetljivih podataka u spoljašnje cloud skladište.

Zašto je ovo važno za administratore

Ova kampanja je posebno značajna zato što se u velikoj meri oslanja na legitimne Microsoft i third-party alate, a ne na očigledan malware. To otežava detekciju i povećava verovatnoću da će aktivnosti izgledati kao rutinska IT podrška, udaljena administracija ili radnje koje je korisnik odobrio.

Najveći rizik nije samo samo eksterno Teams dopisivanje, već trenutak kada korisnik odobri udaljenu kontrolu. Kada se to dogodi, napadači mogu brzo — često u roku od nekoliko minuta — da uspostave širi pristup, postave alate i ciljaju identity ili domensku infrastrukturu.

Preporučene aktivnosti

Administratori bi trebalo da preispitaju kontrole u oblastima saradnje, endpoint i identity bezbednosti:

  • Ojačajte eksterni Teams pristup i pregledajte politike cross-tenant komunikacije.
  • Obučite korisnike da sa sumnjom posmatraju neinicirane helpdesk ili bezbednosne kontakte u Teams, posebno poruke pri prvom kontaktu.
  • Ograničite ili nadgledajte Quick Assist i druge alate za udaljenu podršku gde god je to moguće.
  • Pratite sumnjive lance procesa kao što su QuickAssist.exe nakon kojih slede cmd.exe ili PowerShell.
  • Nadgledajte aktivnosti lateral movement koje uključuju WinRM i neočekivani softver za udaljeno upravljanje.
  • Pregledajte signale data exfiltration povezane sa alatima kao što je Rclone ili neuobičajenim cloud destinacijama za skladištenje.
  • Koristite Microsoft Defender XDR za povezivanje identity, endpoint i Teams telemetry podataka radi ranijeg otkrivanja.

Suština

Microsoftovo istraživanje pokazuje da su platforme za saradnju sada deo aktivnog pejzaža upada. Bezbednosni timovi treba da tretiraju Teams-zasnovano lažno predstavljanje i udaljenu pomoć koju odobrava korisnik kao visokorizične puteve i da u skladu s tim ažuriraju nadzor, svest korisnika i response playbooks.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
Microsoft TeamsQuick AssistMicrosoft Defender XDRdata exfiltrationphishing

Povezani članci

Security

{{Microsoft Defender predictive shielding zaustavlja AD napade}}

Microsoft je objavio kako Defender predictive shielding može da obuzda kompromitaciju Active Directory domena ograničavanjem izloženih naloga sa visokim privilegijama pre nego što napadači ponovo iskoriste ukradene akreditive. Ova mogućnost pomaže bezbednosnim timovima da smanje lateralno kretanje i zatvore jaz u odgovoru tokom brzih identity napada.

Security

Sapphire Sleet macOS upad: ključni Defender uvidi

Microsoft Threat Intelligence je objavio detalje kampanje usmerene na macOS koju sprovodi Sapphire Sleet, a koja koristi social engineering i lažna ažuriranja softvera umesto iskorišćavanja ranjivosti. Lanac napada se oslanja na pokretanje AppleScript i Terminal komandi od strane korisnika kako bi zaobišao nativne macOS zaštite, što dodatno naglašava važnost slojevite odbrane, obuke korisnika i endpoint detekcije.

Security

Strategija kriptografskog inventara za kvantnu spremnost

Microsoft poziva organizacije da kriptografski inventar tretiraju kao prvi praktični korak ka post-quantum spremnosti. Kompanija predstavlja kontinuirani lifecycle upravljanja kriptografskim stanjem kako bi bezbednosni timovi mogli da otkriju, procene, odrede prioritete i otklone kriptografske rizike kroz kod, mreže, runtime okruženja i skladištenje.

Security

AI odgovor na incidente: šta timovi moraju menjati

Microsoft navodi da se tradicionalni principi odgovora na incidente i dalje primenjuju na AI sisteme, ali timovi moraju da se prilagode nedeterminističkom ponašanju, bržem nastanku štete u velikom obimu i novim kategorijama rizika. Kompanija ističe potrebu za boljom AI telemetrijom, planovima odgovora koji uključuju više funkcija i faznom sanacijom kako bi se problemi brzo obuzdali dok se razvijaju dugoročnija rešenja.

Security

{{Agentic SOC u Microsoft viziji budućeg SecOps-a}}

Microsoft predstavlja model „agentic SOC“ koji kombinuje autonomno ometanje pretnji i AI agente kako bi ubrzao istrage i smanjio zamor od upozorenja. Cilj pristupa je da bezbednosne operacije pomeri sa reaktivnog odgovora na incidente ka bržoj i prilagodljivijoj odbrani, dajući SOC timovima više vremena za strateško smanjenje rizika i upravljanje.

Security

{{Storm-2755 napadi na platni spisak u Kanadi}}

{{Microsoft je objavio detalje finansijski motivisane kampanje Storm-2755 usmerene na zaposlene u Kanadi kroz napade na preusmeravanje plata. Akter pretnje koristio je SEO poisoning, malvertising i adversary-in-the-middle tehnike za krađu sesija, zaobilaženje zastarelog MFA i izmenu podataka za direktnu uplatu, što phishing-resistant MFA i nadzor sesija čini ključnom odbranom.}}