Asurgents cybersäkerhetsblogg: Microsoft Teams Attack: Storm-0324 Embraces TeamsPhisher

Hotaktören bakom attackerna: Storm-0324

Storm-0324 är huvudsakliga hotaktören bakom den nya vågen av attacker genom TeamsPhisher. Storm-0324 går under olika namn som TA543, och Sagrid och är finansiellt motiverad hotaktör. Deras tidigare angrepp har ofta involverat phishing-e-post som en initial attackvektor, följt av ransomware-attacker.

Storm-0324 nya attackvektor TeamsPhisher.

Hur används TeamsPhisher?

Genom TeamsPhisher kan en angripare välja att skicka en bifogad fil, ett meddelanden eller målgrupper för olika användare i Teams.

1. Bifogad fil: Angriparen väljer en fil som de vill skicka till målgruppen.
2. Meddelande: Angriparen skriver ett meddelande som de vill inkludera tillsammans med filen.
3. Målgrupp: Angriparen anger en lista med användare i Teams som de vill phisha.
4. Uppladdning av fil: TeamsPhisher laddar upp den valda filen till avsändarens SharePoint-konto.
5. Målgranskning: Verktyget börjar sedan iterera genom listan över målgruppen. För varje målgruppsanvändare kontrollerar det om användaren faktiskt finns och om de kan ta emot externa meddelanden.
6. Skapande av tråd: Om användaren är giltig och kan ta emot meddelanden, skapar TeamsPhisher en ny chatt tråd med den specifika användaren.
7. Skicka meddelande och länk: I den nya tråden skickar TeamsPhisher det angivna meddelandet tillsammans med en länk till den tidigare uppladdade filen i SharePoint.

Detta gör det möjligt för angriparen att phisha användare genom att öppna filen och infektera deras system med skadlig kod. Därför är det viktigt att vara medveten hotet TeamsPhisher och ta försiktighetsåtgärder för att skydda sig mot dem.

Storm-0324:s - TeamsPhisher

Enligt forskare på Microsofts började Storm-0324 använda sig av TeamsPhisher omedelbart vid publicering av i juli då verktyget publicerades. Genom att använda detta verktyg har Storm-0324 fått nya attackvektorer som öppnat nya dörrar till organisationer som inte är redo för denna typ av attack.  

Det ökande hotet mot Microsoft Teams

Attacken från Storm-0324 är bara ett exempel på det ökande hotet mot Microsoft Teams. Plattformen har blivit ett attraktivt mål för cyberkriminalitet. Många företag använder Teams som sitt primära kommunikationsverktyg, och detta har gjort det till en lockande måltavla för angripare.  Attacker mot Teams kommer att bli vanligare eftersom organisationer har en bristande medvetenhet och kunskap för att sårbarheter mot Teams. Dessutom är Teams integrerat med andra Microsoft 365 tjänster och dvs om angriparen får tillgång till Teams kan de potentiellt komma åt andra företagsdata och system.

Säkerhetsåtgärder för att Skydda sig mot Teams-Attacker

För att skydda sig mot TeamsPhisher behöver man inaktivera den externa kommunikations åtkomst för Microsoft Teams. Detta för att minimera risken att användare blir phishade av TeamsPhisher.

För att säkra sina miljöer är det rekommenderat att organisationer tar ett steg längre i sin övervakning av kommunikation i Teams. Titta efter skadliga mönster, kontrollera att säkerhetsprotokoll är på plats och anpassa sina säkerhetspolicyer för att minimera risken att Teams blir exponerat.

Källor: 

https://github.com/Octoberfest7/TeamsPhisher

https://www.darkreading.com/application-security/microsoft-teams-hacks-storm-0324-teamsphisher

https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-attack-pushes-darkgate-malware/