Hackers εκμεταλλεύονται το Microsoft Teams για επιθέσεις “email bombing”

Σύμφωνα με έκθεση της Sophos, κακόβουλοι χρήστες παριστάνουν τους τεχνικούς υποστήριξης για να εξαπολύσουν επιθέσεις μέσω της πλατφόρμας Microsoft Teams. Η εταιρεία παρακολουθεί δύο απειλές με τις ονομασίες STAC5143 και STAC5777, οι οποίες εντοπίστηκαν για πρώτη φορά τον Νοέμβριο και τον Δεκέμβριο του 2024.

Και οι δύο ομάδες απειλών χρησιμοποίησαν δικούς τους λογαριασμούς Microsoft 365 για να πραγματοποιήσουν τις επιθέσεις τους.

Πως εκμεταλλεύονται οι hackers το Microsoft Teams

Οι επιτιθέμενοι αξιοποιούν μια προεπιλεγμένη ρύθμιση του Microsoft Teams που επιτρέπει σε χρήστες από εξωτερικούς τομείς να ξεκινούν συνομιλίες ή συναντήσεις με εσωτερικούς χρήστες. Η Sophos σημειώνει ότι αυτή η ευπάθεια αποτελεί το κύριο εργαλείο των κακόβουλων χρηστών.

• STAC5143: Πρόκειται για μια νέα, αδημοσίευτη απειλή που ενδέχεται να συνδέεται με την ομάδα FIN7, γνωστή και ως Sangria Tempest ή Carbon Spider.
• STAC5777: Έχει ήδη ταυτοποιηθεί από τη Microsoft ως Storm-1811.

Η Sophos ανέφερε ότι η δημοσίευση της λεπτομερούς αναφοράς για τις δύο αυτές απειλές στοχεύει στο να βοηθήσει τους οργανισμούς να τις ανιχνεύσουν και να τις μπλοκάρουν.

Αύξηση περιστατικών

Η εταιρεία παρατήρησε περισσότερα από 15 περιστατικά που περιλαμβάνουν αυτές τις τακτικές τους τελευταίους τρεις μήνες, με τα μισά από αυτά να έχουν συμβεί τις τελευταίες δύο εβδομάδες.

Η τεχνική “email bombing”

Η “email bombing” δεν είναι καινούρια μέθοδος, αλλά η χρήση της έχει αυξηθεί λόγω της διαθεσιμότητας δωρεάν εργαλείων και υπηρεσιών που επιτρέπουν τη μαζική αποστολή ανεπιθύμητων email. Σύμφωνα με τον Chance Caldwell, Διευθυντή στη Cofense, οι επιθέσεις αυτές στοχεύουν στη συγκάλυψη της δραστηριότητας των κακόβουλων χρηστών μέσω της μαζικής αποστολής email στους στόχους τους.

“Αυτές οι τεχνικές spamming χρησιμοποιούνται σε επιθέσεις με διάφορους στόχους, αλλά όλες προσπαθούν να καλύψουν τη δραστηριότητά τους πίσω από εκατοντάδες ή και χιλιάδες email,” δήλωσε ο Caldwell.

Πως μπορούν να προστατευτούν οι επιχειρήσεις

Οι επιθέσεις αυτού του τύπου είναι δύσκολο να εντοπιστούν, καθώς τα παραδοσιακά εργαλεία ασφάλειας δεν αναγνωρίζουν τα ανεπιθύμητα email που αποστέλλονται. Ωστόσο, το μπλοκάρισμα email σε μεγάλη κλίμακα μπορεί να επηρεάσει και νόμιμα μηνύματα.

Εκπαίδευση προσωπικού

Οι υπάλληλοι θα πρέπει να εκπαιδευτούν στις σωστές μεθόδους επικοινωνίας με τα εσωτερικά τμήματα υποστήριξης ή τις ομάδες ασφαλείας της εταιρείας τους, ώστε να μην πέφτουν θύματα των κακόβουλων χρηστών που προσποιούνται ότι παρέχουν τεχνική υποστήριξη.

Λίστα εγκεκριμένων εργαλείων

Ο Max Gannon, Διευθυντής Πληροφοριών στη Cofense, προτείνει τη δημιουργία μιας λίστας εγκεκριμένων εργαλείων απομακρυσμένης πρόσβασης, την οποία οι υπάλληλοι απαιτείται να γνωρίζουν. Αυτή η απλή πρακτική μπορεί να βοηθήσει στην αποτροπή τέτοιων επιθέσεων.

“Η δημιουργία μιας λίστας εγκεκριμένων εργαλείων και η εξασφάλιση ότι οι υπάλληλοι γνωρίζουν ποια περιλαμβάνονται σε αυτή μπορεί να προστατεύσει από τέτοιες επιθέσεις,” τόνισε ο Gannon.

Επιπλέον στρατηγικές προστασίας

• Ενίσχυση ρυθμίσεων ασφαλείας: Οι εταιρείες μπορούν να περιορίσουν την πρόσβαση σε εξωτερικούς χρήστες μέσω του Microsoft Teams, ενεργοποιώντας πιο αυστηρές ρυθμίσεις ασφαλείας.
• Τακτική επιτήρηση: Η παρακολούθηση της δραστηριότητας στους εταιρικούς λογαριασμούς και η τακτική ενημέρωση των εργαλείων ασφαλείας είναι απαραίτητες.
• Αναφορά περιστατικών: Οργανισμοί θα πρέπει να ενθαρρύνουν τους υπαλλήλους τους να αναφέρουν ύποπτα περιστατικά άμεσα.

Συμπέρασμα

Η αυξημένη χρήση του Microsoft Teams από επιχειρήσεις το καθιστά ελκυστικό στόχο για επιθέσεις. Ο συνδυασμός εκπαίδευσης, προσαρμογής των ρυθμίσεων ασφαλείας και χρήσης εγκεκριμένων εργαλείων μπορεί να μειώσει τον κίνδυνο. Η ευαισθητοποίηση και η έγκαιρη ανίχνευση είναι τα κλειδιά για την προστασία από τέτοιες τακτικές.