- Microsoftが、クロステナントチャット機能を悪用する詐欺師についてTeamsユーザーに警告
- 攻撃者がIT職員になりすまし、被害者をQuick Assistで遠隔アクセスを許可するよう騙す
- 内部に入った後、信頼されたツールを使用して横展開し、Rcloneをインストールし、機密な企業データを流出させる
Microsoftは、プラットフォームを使用して企業ネットワークにアクセスし、悪意のあるコードを展開し、機密データを盗む詐欺師についてTeamsユーザーに警告しています。
先週末に発表された新しい詳細なセキュリティアドバイザリーの中で、Microsoftは、被害者の組織の一部ではないにもかかわらず、クロステナント機能を使用してチャットを開始する詐欺師を発見したと述べた。
彼らはIT管理者またはヘルプデスクスタッフになりすまし、Quick Assistのような正当なツールを使用して被害者にコンピューターへのリモートアクセスを許可するよう説得しようとします。
記事は下に続きます
アラームを発動していない
Quick Assistは、ユーザーがリモート技術サポートを提供または受け取ることができるようにする、組み込みのWindowsリモートデスクトップ管理アプリです。
アクセスを取得すると、詐欺師は正当で信頼できるプログラムを実行しますが、悪意のあるコードを実行するように修正します。そこから、Windows Remote Managementのような組み込みツールを使用して企業のネットワークを移動し、ドメインコントローラーなどの重要なシステムに到達します。
「この初期の足がかりから、攻撃者は信頼されたツールとネイティブ管理プロトコルを活用して企業全体で横方向に移動し、流出のために機密データを用意できます。侵入ライフサイクル全体にわたって、しばしば通常のITサポート活動に溶け込みます」と同社は述べた。
Microsoftはまた、攻撃者が一般的な遠隔管理ツールおよびRcloneなどのプログラムをインストールして、会社のデータを収集してクラウドストレージにアップロードすることを観察したと述べた。
この手法は、実際のツールと通常のITプロセスに依存しているため、効果的に機能しているようです。被害者は赤旗を見ていず、実際のIT担当者やヘルプデスクチームは異常または疑わしい活動について警告を受けていません。フィッシングメールの代わりに、攻撃者はTeamsメッセージを使用します。これは正当な内部コミュニケーションのように見えることがあります。
Teamsは、社外の誰かが連絡を取ろうとするときに警告を表示しますが、被害者は警告を無視して、それでもアクセスを提供することに同意したようです。内部に入ると、攻撃者はネットワーク全体に急速に広がり、より多くのツールをインストールし、機密データを収集できます。正確な手順は異なる場合がありますが、目標は通常、アクセスを維持し、貴重な情報を盗むことです。
