最新的黑客攻击策略:Black Basta 利用 Microsoft Teams
关键要点
黑客组织 Black Basta 现在采用 Microsoft Teams 聊天来进行诈骗攻击。攻击者伪装成 IT 支持人员,通过聊天引导用户点击恶意链接。保护措施包括禁用外部用户通信和加强防垃圾邮件政策。旋风加速免费两个小时信用:Ink Drop Shutterstockcom
臭名昭著的 Black Basta 勒索软件团伙正在全球范围内针对各类组织展开攻击。该团伙过去常常通过发送垃圾邮件轰炸受害者,然后伪装成 IT 支持获取系统访问权限。然而,这种方法现在似乎得到了进一步发展。
近期,安全研究公司 ReliaQuest 发现 Black Basta 现在利用 Microsoft Teams 聊天信息与潜在受害者进行交流。攻击者在此过程中同样伪装成帮助台员工。根据 研究报告,攻击者有时通过邀请参与 MS Teams 群聊来进行接触。
在聊天过程中,犯罪分子诱使用户点击指向欺诈网站的二维码。这些虚假网站专门针对目标组织,通常只有通过仔细检查子域名才能与真实的公司网站进行区分。
研究人员表示,攻击者的目标是诱使 MS Teams 用户下载 远程监控和管理 (RMM) 工具,从而获得对目标环境的访问权限。
保护措施:抵御 MS Teams 攻击
为了保护自己免受这些攻击,ReliaQuest 建议采取以下措施:
保护措施说明禁用外部用户通信禁止 Teams 中的外部用户交流,以防止不必要的聊天信息到达最终用户。白名单设置如果需要与外部用户通信,可以将某些信任的域列入白名单。此外,在电子邮件安全工具中设置强有力的反垃圾邮件政策,可以防止垃圾邮件淹没最终用户的收件箱。启用日志记录确保为 Teams 启用日志记录,特别是 ChatCreated 事件,以便更容易检测和调查此类活动。账户搜索组织在寻找帮助台账户时,应该使用“包含”而不是直接匹配的方式进行搜索。通过这些措施,组织可以在一定程度上防范来自 Black Basta 团伙的攻击,保护自身的信息和资产安全。
