到目前為止,研究人員已經發現了數千起此類攻擊,這些攻擊涉及濫用 Microsoft Teams 聊天功能
Photo Credit: Microsoft Teams
Microsoft Teams 的受歡迎程度持續增長,每月活躍用戶約為 2.7 億,駭客們意識到此線上會議軟體是在企業或組織的系統中的最佳傳播及攻擊媒介。從 2022 年 1 月開始,Check Point旗下子公司Avanan的資安人員觀察到,攻擊者滲透到Microsoft Teams會議中,將惡意執行檔附加到會議的聊天中從而感染參與對話的用戶。根據Avanan的資安人員Jeremy Fuchs,駭客很可能先入侵屬於員工的電子郵件帳戶後滲透到 Microsoft Teams,然後再使用該電子郵件帳戶存取其公司的 Teams 會議。Fuchs進一步說,駭客非常擅長使用電子郵件網路釣魚來入侵Microsoft 365 帳戶來竊取登錄憑證,並清楚知道相同的憑證適用於 Microsoft Teams。
一旦成功進入會議,駭客會投放一個偽裝成合法程式的惡意執行檔,名為“User Centric”。一旦用戶點擊安裝,他們的設備就會被一個木馬程式感染,木馬程式會在電腦上投放惡意 DLL檔,從而使駭客可以繞過現有的保護措施,遠端劫持系統。另外Avanan還展示了該惡意軟體在 Windows 7 設定上的Demo, 但目前尚不清楚該攻擊是否能夠在 Windows 10 或 Windows 11 上運行。
User Centric木馬利用了人們對 Teams 的信任,人們認為連結來自同事,而不是駭客。Avanan 研究人員表示,雖然攻擊非常簡單,但非常有效,因為許多用戶信任通過 Teams 收到的檔案。該公司對使用 Teams 的醫院進行分析時,發現醫生使用該平台共享患者的醫療資訊,認為一切都可以通過 Teams 發送。
由於大多數員工接受了電子郵件安全意識的培訓,對收到的電子郵件資訊會保持警惕的態度,但他們對通過 Teams 收到的檔案並不這麼謹慎。此外,Teams 允許來賓和外部存取,允許與公司外部的人員協作。Fuchs說這些邀請經常受到很少的監控。Fuchs補充道,Teams缺乏預設的防護,掃描惡意連結和檔案也是有限的,許多電子郵件安全解決方案也無法為Teams提供強大的保護,這使問題變得更加嚴重。
國家特殊通訊和資訊保護服務管理局(State Service for Special Communication and Information Protection),從2022年2月15日下午開始,烏克蘭多處資訊資源遭到強大的DDOS攻擊。這導致私有銀行(PrivatBank)及烏克蘭國家儲蓄銀行(Oschadbank) 的 Web 服務工作中斷,導致 ATM 無法操作,客戶無法在線上提款或轉帳及App無法正常使用,同時也證實了烏克蘭國防部和武裝部隊等的網站也遭到攻擊。
❗️Сайт МОУ зазнав, ймовірно, DDoS-атаки: фіксувалася надмірна кількість звернень на секунду. Проводяться техроботи з відновлення штатного функціонування. Комунікація через сторінки в FB та Twitter, сайти АрміяInform https://t.co/ukMW41irPW та Армія FM https://t.co/IpDnBXoMXw.
烏克蘭戰略通訊與資訊安全中心(the Ukrainian Center for Strategic Communication)在 Facebook 的一篇帖子中說,攻擊者會採取這種骯髒的小伎倆,因為它的侵略計劃沒有奏效。烏克蘭外交部、教育部、內政部、能源部等多個政府網站,在上月14日也曾因遭到大規模網路攻擊而關閉。
據悉,雖然烏克蘭國防部的網站無法連結,但烏克蘭國家儲蓄銀行 的網站仍然可以連上,但客戶無法登錄他們的網上銀行賬戶。私有銀行(PrivatBank)的網站今天也遭到攻擊,攻擊者除了刪除網站的內容並添加了“BUSTED!PRIVATBANK WAF is watching you)” 的訊息。
週一,烏克蘭安全局(Security Service of Ukraine-SSU)表示,該國成為與俄羅斯有關的惡意攻擊者的“大規模混合戰爭”的目標,正值烏俄邊境緊張,時機敏感,外界質疑這是俄羅斯旨在引發焦慮並削弱烏克蘭人對該國保衛能力的信心。SSU 表示,該活動與通過社交網路和其他媒體傳播虛假資訊的俄羅斯情報機構有關。
沃達豐葡萄牙(Vodafone Portugal)遭受重大網路攻擊,導致4G及5G網路,行動通訊和電視等服務中斷,沃達豐葡萄牙公司今天表示,2022年2月7日晚在旨在造成損害和破壞的蓄意和惡意網路攻擊(a deliberate and malicious cyberattack intended to cause damage and disruption)之後,其大部分客戶數據服務在一夜之間中斷,該攻擊主要影響數據網路上的業務提供,包括4G/5G網路、固定語音、電視、短訊和語音/數位應答服務。
Conti ransomware gang continues to upload Bank of Indonesia's internal data. The first leak was 487MB of data but now it reaches 74GB. Compromised internal PCs were estimated at 16 initially, and now go up to 237. pic.twitter.com/FK2vXpGPXH
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) January 24, 2022
所有現有的 OT 網路安全解決方案都基於預防(防火牆、存取管理等)和基於日誌(網路流量、端點事件等)分析的被動檢測來保護系統。然而,根據Honeywell Constructing Applied Sciences 進行的一項最新調查,超過四分之一 (27%) 的受訪設施管理人員在過去 12 個月內經歷了其 OT 系統的網路入侵,他們認為管理 OT 網路安全是他們最困難的職責之一,攻擊者以針對性攻擊和勒索軟體攻擊來瞄準構建系統。這些攻擊不僅可以存取私人客戶數據,還可能破壞公共基礎設施、數據中心、醫院和機場等關鍵設施的營運。
Honeywell威脅防禦平台-HTDP 使用欺敵策略來混淆和誤導關鍵資產和設備的威脅,這種方法可以實現高檢測率和低誤報率,新產品還提供用於確認和調查威脅的分析功能,並旨在引導、誘騙攻擊者來攻擊看似有價值的 IT 和 OT 設備的誘餌資產,使他們無法存取企業資產和更難識別真實系統,以減緩攻擊者的速度並使資安團隊更快地採取行動。
HTDP包含檢測和轉移、交戰和學習攻擊者 TTP 的能力,成為對抗網路攻擊的有力武器。
Honeywell Building Technologies的全球網路資安全總監 Mirel Sehic 說:“不幸的是,網路攻擊的數量和複雜的性每天都在增加,這加強了營運商嚴格監控、維護和保護其 OT 環境的需求,將 Acalvio 的自主欺敵技術整合到我們的 OT 網路安全工具中,提供了一種高效的解決方案,有助於保護我們客戶的OT環境免受日益複雜的攻擊。”
