In een recente waarschuwing laat Microsoft weten dat er steeds vaker misbruik wordt gemaakt van Microsoft Teams door hackers die zich voordoen als IT- of helpdeskmedewerkers. Zij benaderen medewerkers via externe Team-chats met als doel toegang te krijgen en lateraal door te dringen binnen bedrijfsnetwerken.

Deze hackers doen zich voor als IT-personeel en vragen medewerkers om toegang te geven tot hun systemen, vaak door hen te overtuigen om een ​​supportsessie op afstand te starten via tools zoals Quick Assist. Dit stelt de aanvallers in staat om direct controle over de computer van de medewerker te krijgen en gevoelige data te stelen.

Microsoft heeft meerdere aanvallen waargenomen die gebruikmaken van commerciële software voor externe beheertaken en tools zoals Rclone om bestanden naar externe cloudopslag te verplaatsen. De technologie-gigant merkt op dat dit soort kwaadaardige activiteiten moeilijk te onderscheiden zijn van normale bedrijfsvoering door het gebruik van legitieme applicaties en administratieve protocollen.

In hun rapport beschrijft Microsoft een aanval in negen stappen, die begint met een Teams-chat waarin de aanvaller zich voordoet als een IT-medewerker van het bedrijf. Het doel is om het slachtoffer te laten deelnemen aan een supportsessie, wat de aanvaller volledige controle geeft.

Na toegang verkregen te hebben, doorzoekt de aanvaller snel het systeem met tools zoals Command Prompt en PowerShell om te bepalen hoe ze verder kunnen infiltreren. Kwaadaardige code wordt vervolgens uitgevoerd via legitieme applicaties, waardoor de communicatie vervloeit in het normale verkeer, wat detectie bemoeilijkt.

Vervolgens wordt Windows Remote Management misbruikt om verder door het netwerk te bewegen, met als doel domeingebonden systemen en waardevolle assets aan te vallen. Extra beheerhulpmiddelen worden ingezet om gegevens te verzamelen en te verzenden naar externe opslagpunten.

Microsoft benadrukt dat deze exfiltratie zorgvuldig gericht is. Gebruikers wordt geadviseerd om externe contactverzoeken in Teams standaard te wantrouwen en beheerders wordt geadviseerd om de toegang tot en het gebruik van hulpmiddelen voor externe assistentie streng te controleren.

Tot slot roept Microsoft op tot waakzaamheid bij meldingen van Teams over potentiële phishingpogingen van personen buiten de organisatie.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.