行业新闻与博客

微软详细介绍了一项新的网络钓鱼活动，该活动通过 MS Teams 将企业员工作为攻击目标。

这家科技巨头表示，该活动是由出于经济动机的威胁行为者 Storm-0324 发起的。该组织充当网络犯罪社区中的“分发者”，在通过基于电子邮件的初始感染向量实现初始网络入侵后分发其他攻击者的有效负载。

这通常会导致危险的后续攻击，例如勒索软件。

据微软称，自 2019 年以来，该组织主要分发 JSSLoader，将访问权限移交给勒索软件攻击者 Sangria Tempest。

新 MS Team 活动

新的 Storm-0324 活动于 2023 年 7 月首次观察到，该活动通过业务通信平台 MS Teams 发送网络钓鱼诱饵。

微软认为该组织利用名为 TeamsPhisher 的公开工具发送链接，从而导致 SharePoint 托管的恶意文件。TeamsPhisher 是一个 Python 语言程序，使 Teams 租户用户能够将文件附加到发送给外部租户的消息中。

该通报强调，此活动与微软在 8 月份详细介绍的午夜暴雪社会工程活动无关，其中攻击者利用 Microsoft Teams 聊天时提供的凭据盗窃网络钓鱼诱饵。

My1Login 首席执行官 Mike Newman 在评论新活动时指出，事实证明，通过 Teams 进行的网络钓鱼攻击对于恶意行为者来说是一种特别有效的策略。

“这是一个复杂的网络钓鱼骗局，许多受害者会被抓住，因为他们不会意识到犯罪分子可以劫持 Microsoft Teams 来实施攻击。

“人们了解犯罪分子可以用来通过电子邮件发送网络钓鱼诈骗的技术，但由于 Teams 被视为内部通信平台，员工对该工具更加信任，并且更有可能打开并执行在聊天中收到的文档，”Newman 解释道。

如何让 MS Team 更安全

Microsoft 已采取行动更好地防御使用 Teams 的网络钓鱼活动，包括暂停与不真实或欺诈行为相关的已识别帐户和租户。

该公司还为 Teams 的客户提供了许多建议，以降低受到这些活动危害的风险，包括：

• 限制 Teams 上的外部通信联系。这包括指定受信任的 Microsoft 365 组织来定义允许哪些外部域聊天，以及为组织的外部协作选择最佳访问设置。
• 限制组织中连接到 MS Teams 的设备类型。客户应仅允许符合 Microsoft 建议的安全基线的已知设备。此外，在 Microsoft Defender for Cloud Apps 中为从非托管设备连接的用户实施条件访问应用控制。
• 用户教育和意识。应通过 Teams 向员工提供有关社会工程和凭证网络钓鱼攻击策略的最新教育。他们还应该接受有关使用功能的教育，例如验证来自外部实体的通信尝试的“外部”标记。
• 安全链接扫描。用户可以将 Microsoft Defender for Office 365 配置为在单击时重新检查链接。这应该是 Microsoft Exchange Online Protection (EOP) 中入站电子邮件中常规反垃圾邮件和反恶意软件保护的补充。
• 访问管理。实践最小权限原则，并避免使用域范围内的管理员级服务帐户。此外，试点并开始为用户部署防网络钓鱼的身份验证方法。