This post is also available in:
English (אנגלית)
Sophos X-Ops, חטיבת מחקר האיומים של חברת אבטחת הסייבר הבריטית Sophos, חשפה שני קמפיינים פעילים של מתקפות סייבר נגד ארגונים המשתמשים ב-Microsoft Office 365. קמפיינים אלה, המקושרים לקבוצות עברייני סייבר רוסיות, מנצלים כלי ניהול מרחוק כמו Microsoft Teams ו-Quick Assist כדי לחדור לרשתות, לגנוב נתונים רגישים ולהתקין תוכנות כופר.
שתי קבוצות האיום, תחת שמות המעקב STAC5143 ו-STAC577, נצפו במהלך החודשים האחרונים כשהן מנהלות קמפיינים פעילים מאוד. Sophos איתרה קשרים בין אחת הקבוצות לבין קבוצת פושעי הסייבר הרוסית FIN7, בעוד שהאחרת חופפת ל-Storm-1811, קבוצה רוסית נוספת. שתיהן ידועות במעורבותן בפעולות של כופרה וגניבת נתונים.
בשלושת החודשים האחרונים זוהו יותר מ-15 תקריות נפרדות, כאשר מחציתן התרחשו בשבועיים האחרונים. דרך הפעולה של הקבוצות מתחילה כאשר התוקפים פועלים למול קבוצה נבחרת של עובדים בתוך חברות המשתמשות ב-Microsoft Teams. אנשים אלה מופגזים באלפי הודעות דואר זבל בפרק זמן קצר – לפעמים יותר מ-3,000 הודעות דוא"ל בפחות משעה. עובדים רבים היו נמנעים מללחוץ על קישורי דואר אלקטרוני חשודים, ולכן התוקפים פונים באמצעות שיחות קול או שיחות וידאו ב-Teams, ומציעים סיוע בפתרון בעיית הדואר האלקטרוני.
לאחר מכן, התוקפים מורים לעובד להעניק גישה מרחוק למחשב באמצעות תכונת 'שיתוף מסך' של Microsoft Teams או Quick Assist. ברגע שהגישה ניתנת, התוקפים משיגים שליטה על המחשב, פורסים תוכנות כופרה, ומזליגים החוצה נתונים יקרי ערך.
על פי שון גלאגר, חוקר איום ראשי ב-Sophos, מגמה הולכת וגדלה זו מדגישה את הניצול הגובר של כלי ניהול מרחוק. בפרט, Microsoft Teams בעלת פגיעות מרכזית בשל הגדרות ברירת המחדל שלה, המאפשרות לאנשים מחוץ לארגון ליצור קשר עם עובדים פנימיים. גלאגר מציין כי עסקים רבים מסתמכים על ספקי שירות מנוהלים, מה שהופך אותם לרגישים יותר להונאות הכוללות שיחות מזויפות של "תמיכה טכנית".
כדי להגן מפני איומים אלה, Sophos מייעצת לחברות המשתמשות ב-Microsoft Office 365 לסקור את הגדרות האבטחה שלהן, לחסום תקשורת חיצונית אם ניתן ולהגביל את הגישה לכלי ניהול מרחוק לאנשי צוות מהימנים. בנוסף, העלאת המודעות של העובדים לגבי טקטיקות אלה – במיוחד אלה שאינן מכוסות בהכשרה מסורתית למניעת פישינג – חיונית להפחתת הסיכון.
