Fidye yazılımı çetelerine kurumsal sistemlere ilk erişim olanağı sağlamasıyla bilinen bir tehdit aktörü, Microsoft Teams aracılığıyla çalışanlara kimlik avı yapıyor.
“Bu aktivite için Storm-0324 büyük olasılıkla kamuya açık bir araca güveniyor: Phisher Microsoft tehdit araştırmacıları şunu belirtti.
Storm-0324 Hakkında
Storm-0324, Microsoft tarafından bu özel tehdit aktörüne atanan geçici bir addır ve gösteriler Şirketin, operasyonun arkasındaki aktörün kökeni veya kimliği konusunda henüz yüksek bir güven düzeyine ulaşamadığı belirtildi.
Bildikleri şey, Storm-0324’ün 8 yılı aşkın süredir ortalıkta olduğu ve daha önce bankacılık truva atları (Gootkit, Dridex), bilgi çalan kötü amaçlı yazılımlar (IcedID) gibi çeşitli kötü amaçlı yazılım yüklerini dağıtmak için yararlanma kiti ve e-posta tabanlı vektörler kullandığıdır.
Microsoft, Storm-0324’ün Temmuz 2023’te Teams üzerinden kötü amaçlı bağlantılar içeren ve SharePoint tarafından barındırılan kötü amaçlı bir dosyaya yol açan kimlik avı tuzaklarını kullanmaya başladığını söylüyor; ancak dosyanın hangi kötü amaçlı yükü taşıdığını söylemiyorlar.
Ayrıca bu özel kimlik avı kampanyasının benzer bir kampanyayla ilişkili olmadığını da belirttiler.
Kuruluşunuzu Microsoft Teams kimlik avı ve fidye yazılımlarına karşı koruyun
Araştırmacılar, “Storm-0324’ün diğer tehdit aktörlerine erişimi devre dışı bırakması nedeniyle, Storm-0324 aktivitesinin tespit edilmesi ve iyileştirilmesi, fidye yazılımı gibi daha tehlikeli takip eden saldırıları önleyebilir” diye uyardı ve tedarik edilen kurumsal savunucular için koruma tavsiyeleri ve avcılık soruları.
Microsoft daha önce şunu söylemişti: Microsoft Teams güvenlik açığı bu saldırılara izin veren “hemen müdahale çıtasını karşılamadı.”
Ancak kurumsal yöneticiler bu tehdidi en aza indirmek için harici kiracıların çalışanlarıyla iletişim kurmasını imkansız hale getirmek veya güvenlik ayarlarını yalnızca izin verilenler listesindeki belirli alan adlarıyla iletişime izin verecek şekilde değiştirmek gibi adımlar atabilir. (İkincisi, iletişime geçmesine izin verilen harici bir kiracının güvenliği ihlal edilmişse yardımcı olmayacaktır.)
Microsoft ayrıca bu tehditlere karşı daha iyi savunma sağlamak için çeşitli iyileştirmeler yaptığını da belirtiyor.
Gerçek olmayan veya hileli davranışlarla ilişkili olarak tanımlanan hesapları ve kiracıları askıya almanın yanı sıra, Teams kullanıcılarının daha iyi iletişim kurabilmesi için bir kullanıcının ve e-posta adresinin dışsallığını vurgulamak amacıyla Teams içindeki bire bir sohbetlerdeki Kabul Et/Engelle deneyimini de geliştirdiler. Bilinmeyen veya kötü niyetli gönderenlerle etkileşime girmeyerek dikkatli olun.
Ayrıca, “kiracılar içinde etki alanlarının oluşturulmasına ilişkin yeni kısıtlamalar ve kiracıları içinde yeni etki alanları oluşturulduğunda kiracı yöneticilerine yönelik iyileştirilmiş bildirimler” vardır.