Злоумышленники всё чаще используют корпоративные платформы для совместной работы, включая Microsoft Teams, чтобы получить начальный доступ, выдавая себя за сотрудников IT-службы поддержки и убеждая сотрудников предоставить удалённое управление, согласно новому исследованию Microsoft.
В посте блога Microsoft описала технику «межарендной имитации службы поддержки», в рамках которой злоумышленники инициируют переписки с сотрудниками через функцию внешнего доступа Teams.
«Злоумышленники используют социальную инженерию, чтобы убедить пользователей предоставить доступ», — заявила Microsoft, отметив, что такой подход позволяет противникам действовать в доверенных каналах связи и обходить традиционные защиты от фишинга.
В отличие от обычного фишинга или атак, основанных на эксплуатации, техника опирается на то, что Microsoft характеризует как доступ, одобренный пользователем. Жертвы убеждают начать удалённые сессии, часто используя легитимные инструменты, фактически передавая контроль злоумышленникам без срабатывания типичных обнаружений вредоносного ПО, как говорится в сообщении блога.
Переход к приложениям для совместной работы
Хотя техника может показаться новой, аналитики говорят, что это скорее эволюция существующих тактик социальной инженерии, чем радикальное переосмысление методов атак.
«С моей точки зрения, это скорее эволюция существующих тактик социальной инженерии, чем фундаментальный сдвиг», — сказала Прабхйот Каур, старший аналитик в Everest Group. «Цель не изменилась. Злоумышленники по-прежнему используют доверие пользователей и их срочность, чтобы получить первоначальный доступ. Что меняется — это канал.»
По мере того как такие платформы, как Teams, становятся центральной частью рабочих коммуникаций, злоумышленники следуют за пользователями в эти среды. В отличие от электронной почты, эти платформы позволяют взаимодействие в реальном времени, что делает притворение сотрудников IT-службы поддержки более убедительным.
Каур отметила, что платформы для совместной работы обеспечивают взаимодействие в реальном времени, что делает притворение сотрудников IT-службы поддержки более убедительным, чем фишинг по электронной почте. «Поэтому вместо того, чтобы заменить фишинг, это расширяет поверхность атак и делает социальную инженерию более эффективной на оперативном уровне», — сказала Каур.
Чтобы дать более четкое представление об изменении, Санчит Вир Гогия, главный аналитик Greyhound Research, сказал, что перемена касается скорее того, как разворачиваются атаки, чем канала. «Фишинг требовал внимания. Эта модель требует участия», — сказал он.
«Злоумышленники внедряются в легитимные рабочие процессы и поэтапно направляют пользователей через действия, которые предоставляют доступ», добавил Гогия, описывая это как движение к «пошаговому выполнению», а не к простому обману.
Выводы Microsoft следуют за ранее зафиксированными случаями, в которых злоумышленники использовали чаты и звонки в Teams, чтобы выдать себя за IT-поддержку и инициировать удалённый доступ.
Риск межарендного доступа растёт
Цепочка атак использует возможность межарендной связи Teams, которая позволяет внешним пользователям инициировать чаты с сотрудниками, как указано в блоге Microsoft.
«Риск межарендного доступа существенен, и многие организации, вероятно, его недооценивают», — сказал Сунил Варкей, консультант Beagle Security.
«Инструменты для совместной работы задумывались для снижения трения, но многие организации включили это удобство раньше, чем полностью применить контроль нулевого доверия», — сказал Варкей. «Уустойчивый подход состоит в сохранении деловой ценности этих платформ, одновременно рассматривая каждое внешнее взаимодействие, запрос на поддержку и одобрение доступа как то, что должно быть проверено, ограничено и контролируемо.»
Он сравнил риск с пробелом в физической охране. Разрешение входа любому в холл не должно означать, что они смогут провести сотрудников в ограниченные зоны и запрашивать доступ.
Каур добавила, что многие предприятия по-прежнему рассматривают платформы для совместной работы прежде всего как инструменты продуктивности, а не как часть поверхности атаки. «Межарендный доступ необходим для бизнеса, но он вводит границу доверия, которую часто неправильно понимают или слабо контролируют», — сказала она.
Гогия сказал, что проблема коренится в том, как доверие применяется в современных средах. «Внешние участники теперь могут инициировать взаимодействия внутри сред, которые сотрудники ассоциируют с внутренней координацией», — сказал он, добавив, что это создаёт «ложное чувство безопасности».
Обнаружение становится сложнее
Microsoft заявляет, что злоумышленники используют легитимные административные инструменты и утилиты удалённого доступа после проникновения, что затрудняет различение активности от обычной операционной деятельности.
«Поскольку злоумышленники используют легитимные инструменты и утверждённые рабочие процессы, в изоляции почти нет явных признаков вредоносности», — сказала Каур. «Эти атаки сливаются с обычными IT-операциями.»
Microsoft также отметила, что злоумышленники полагаются на встроенные административные инструменты и легитимные утилиты передачи данных для латерального перемещения и эксфильтрации данных, маскируя это под обычную активность.
Это смещает фокус к поведенческому обнаружению. «Команды безопасности должны уделять приоритет обнаружению последовательностей активности», — сказала Каур, указывая на такие паттерны, как непрошенное внешнее взаимодействие в Teams, за которым следует активность удалённой поддержки и латеральное перемещение.
Гогия сказал, что это требует смены подхода к обнаружению. «Эти атаки не зависят от эксплойтов. Они зависят от последовательности», — сказал он. «Каждое отдельное действие выглядит законным. Компрометация становится явной только когда эти действия связываются.»
Варкей добавил, что защитникам нужно выйти за рамки традиционных индикаторов. «Поскольку эти атаки опираются на легитимные инструменты и действия, одобренные пользователем, команды безопасности должны фокусироваться на контексте и поведении, а не только на вредоносном ПО», — сказал он.
Нужен более жесткий контроль
Чтобы снизить риск, эксперты считают необходимым более жесткое управление средами для совместной работы.
«Платформы для совместной работы часто настраиваются в первую очередь ради удобства: лёгкий внешний чат, звонки, совместное использование экрана и удалённая помощь, не учитывая, как эти функции могут использоваться вместе во вред», — сказал Варкей.
Каур подчеркнула необходимость интегрированной видимости. «Наиболее эффективные защиты будут достигнуты за счёт интеграции видимости collaboration, identity, endpoint и SOC, а не их раздельного рассмотрения», — сказала она.
Рекомендуемые меры включают ужесточение контроля внешнего доступа, ограничение инструментов удалённой поддержки утверждёнными рабочими процессами, применение условного доступа и многофакторной аутентификации, а также повышение осведомлённости пользователей о том, как выглядят легитимные взаимодействия IT-поддержки, — пишет Microsoft.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
