Microsoft upozorava na sve češće Teams lažno predstavljanje helpdeska
Microsoft upozorava da napadači sve češće koriste eksternu saradnju u Microsoft Teams-u kako bi se lažno predstavljali kao IT ili helpdesk osoblje i naveli zaposlene da im odobre udaljeni pristup. Prema opisanom lancu napada, kontakt počinje kroz cross-tenant chat, zatim sledi pokretanje Quick Assist sesije, izviđanje sistema i dalje širenje kroz legitimne alate i administrativne protokole kao što je WinRM. Za postojanost i izvršavanje koda koriste se i potpisane aplikacije kroz DLL side-loading, a za izvlačenje podataka alati poput Rclone. Microsoft navodi da se ovakve aktivnosti teško razlikuju od redovne IT podrške jer se oslanjaju na legitimne programe i uobičajeni administratorski saobraćaj.
Za firme je nezgodno to što napad ne počinje malware porukom koja odmah bode oči, već razgovorom koji liči na običnu internu podršku. Kada se lažni helpdesk osloni na Teams, Quick Assist i standardne administratorske alate, granica između pomoći i upada postaje mnogo tanja nego što većina korisnika očekuje.
- Tretirati sve spoljne Teams poruke kao nepoverljive, čak i kada deluju kao interna podrška
- Ograničiti ili strogo nadzirati Quick Assist i druge alate za udaljenu podršku
- Dozvoliti WinRM samo na kontrolisanim sistemima i za jasno definisane administratore
- Obučiti zaposlene da ne prihvataju pomoć kroz Teams bez interne provere identiteta po drugom kanalu
- Pratiti Rclone, neočekivane udaljene sesije i DLL side-loading obrasce na korisničkim računarima