Microsoft попереджає про нову схему атак, у якій зловмисники використовують можливості зовнішніх чатів Microsoft Teams, щоб видавати себе за IT-персонал і обманом отримувати віддалений доступ до комп’ютерів співробітників. Особливістю цих атак є те, що зловмисники переважно покладаються на легальні інструменти, що ускладнює їхнє виявлення.

Як працює схема

Зловмисники виходять на контакт із жертвою через зовнішній чат Teams, представляючись співробітниками IT-служби або helpdesk. Вони стверджують, що потрібно вирішити проблему з обліковим записом або виконати оновлення безпеки, і переконують жертву розпочати сесію віддаленої підтримки — зазвичай через програму Quick Assist, яка надає атакувальнику повний контроль над комп’ютером співробітника.

Microsoft зафіксувала кілька атак зі схожим ланцюжком дій, у яких використовувалося комерційне програмне забезпечення для віддаленого керування (зокрема Quick Assist) та утиліта Rclone для передачі файлів у зовнішні хмарні сховища.

«Зловмисники дедалі частіше зловживають функцією зовнішньої співпраці в Microsoft Teams, видаючи себе за IT-персонал або службу підтримки та переконуючи користувачів надати віддалений доступ», — зазначає Microsoft.

Дев’ять етапів атаки

У своєму звіті Microsoft описує дев’ятиетапний ланцюжок атаки:

• Перший контакт. Зловмисник звертається до жертви через зовнішній чат Teams під виглядом IT-фахівця компанії.
• Отримання доступу. Жертву переконують запустити сесію віддаленої підтримки через Quick Assist, після чого атакувальник отримує пряме керування машиною.
• Розвідка. За допомогою Command Prompt і PowerShell зловмисник перевіряє привілеї, приналежність до домену та доступність мережевих ресурсів для оцінки можливостей подальшого поширення.
• Впровадження шкідливого коду. У загальнодоступні директорії (наприклад, ProgramData) розміщується невеликий шкідливий пакет, який запускається через підписані легальні програми — Autodesk, Adobe Acrobat/Reader, Windows Error Reporting або ПЗ для захисту від втрати даних — за допомогою техніки DLL side-loading.
• Приховане з’єднання з командним сервером. HTTPS-комунікація з командно-контрольним сервером (C2) маскується під звичайний мережевий трафік.
• Закріплення в системі. Зловмисник забезпечує постійну присутність через модифікації реєстру Windows.
• Горизонтальне переміщення мережею. Через Windows Remote Management (WinRM) атака поширюється на інші системи домену, зокрема контролери домену та інші цінні ресурси.
• Встановлення додаткових інструментів. На доступних системах розгортаються додаткові засоби віддаленого керування.
• Викрадення даних. За допомогою Rclone або аналогічних інструментів зібрані дані передаються до зовнішніх хмарних сховищ. Цей етап є цілеспрямованим: застосовуються фільтри для вибору лише цінної інформації, що зменшує обсяг трафіку та підвищує непомітність операції.

Чому атаки складно виявити

Microsoft особливо наголошує на тому, що шкідлива активність важко відрізняється від звичайної IT-діяльності, оскільки зловмисники використовують виключно легальні програми та стандартні адміністративні протоколи. «Зловмисники використовують довірені інструменти та нативні адміністративні протоколи для горизонтального переміщення мережею та підготовки чутливих даних до викрадення — часто маскуючись під рутинну діяльність IT-підтримки протягом усього циклу вторгнення», — йдеться у повідомленні компанії.

Рекомендації

Microsoft нагадує, що зовнішні контакти в Teams слід за замовчуванням вважати ненадійними. Компанія також звертає увагу на вбудовані попередження безпеки Teams, які явно позначають комунікацію від осіб поза організацією та можливі спроби фішингу.

Адміністраторам корпоративних мереж рекомендується:

• обмежити або ретельно моніторити використання інструментів віддаленої підтримки;
• обмежити використання WinRM виключно контрольованими системами;
• розглядати будь-які запити на віддалений доступ від нібито IT-персоналу через Teams як потенційно підозрілі.

Ця стаття Зловмисники маскуються під IT-підтримку в Microsoft Teams, щоб отримати доступ до корпоративних мереж раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Компанія Microsoft нагадала користувачам про припинення підтримки Windows 10 версії 1909 (велике оновлення від листопада 2019 року). Згідно з планами корпорації, цей реліз ОС стане неактуальним вже у травні 2021 року.

Таким чином, Microsoft через три місяці перестане надавати технічну підтримку, а також відмовиться від випуску патчів та виправлень для Windows 10 1909. Техногігант рекомендує всім, хто використовує стару версію системи, якомога швидше оновити її до актуальної – це вбереже від кібератак.

“11 травня 2021 року термін Home, Pro, Pro Education, Pro версії Windows 10 1909 році, а також всіх випусків Windows Server 1909 сплине. Ті користувачі, які звернуться до техпідтримки після 11 травня, будуть перенаправлені на оновлення операційної системи”, – повідомляє Microsoft.

Релізи Education і Enterprise будуть підтримувати ще рік, проте 11 травня 2022 року їхній термін також сплине. Окрім цього, у травні Microsoft припинить підтримку двох інших версій – 1803 і 1809, оскільки раніше корпорація відклала це питання через питання пандемії COVID-19.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.

Ця стаття Microsoft припиняє підтримку Windows 10 версії 1909 раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар