Aktuelles, Branche - geschrieben von am Dienstag, März 1, 2022 14:12 - noch keine Kommentare

Microsoft Teams im Visier der Hacker

Lookout-Stellungnahme zu Hacker-Taktiken und möglichen Gegenmaßnahmen

[datensicherheit.de, 01.03.2022] „Jüngste Berichte zeigen, dass Hacker ,Microsoft Teams‘ nutzen, um Malware zu verbreiten“, warnt Hank Schless, „Senior Manager of Security Solutions“ bei Lookout, in seiner aktuellen Stellungnahme. Die Angriffe erfolgten durch das Anhängen von „.exe“-Dateien an „Teams“-Chats, um einen Trojaner auf dem Computer des Endbenutzers zu installieren – dieser werde dann zur Installation von Malware verwendet. Schless benennt mögliche Taktiken und Gegenmaßnahmen.

 

lookout-hank-schless

Foto: Lookout

Hank Schless: Angreifer greifen vor allem über mobile Kanäle wie SMS, Social-Media-Plattformen, Messaging-Apps von Drittanbietern, Spiele und sogar Dating-Apps auf die Nutzer zu…

Mir Microsoft 365 als weit verbreiteter Plattform können Hacker leicht Social-Engineering-Kampagnen erstellen

„Die erste Taktik der Hacker besteht darin, sich Zugangsdaten von Mitarbeitern für ,Microsoft 365‘ zu erschleichen, die ihnen Zugriff auf alle Anwendungen der Microsoft-Suite geben würden, berichtet Schless. Die Daten von Lookout zeigten, dass die Angreifer vor allem über mobile Kanäle wie SMS, Social-Media-Plattformen, Messaging-Apps von Drittanbietern, Spiele und sogar Dating-Apps auf die Nutzer zugriffen. „Daten von Lookout zufolge waren im Jahr 2021 durchschnittlich pro Quartal 15,5 Prozent der Unternehmensanwender Phishing-Angriffen ausgesetzt. Zum Vergleich: Im Jahr 2020 lag die Zahl bei 10,25 Prozent. Phishing ist eindeutig ein wachsendes Problem für jedes Unternehmen.“

Da „Microsoft 365“ eine so weit verbreitete Plattform sei, „ist es für Angreifer nicht sehr schwierig, Social-Engineering-Kampagnen zu erstellen, die Benutzer mittels bösartigen ,Word‘-Dateien und gefälschten Anmeldeseiten ansprechen“. Die zweite Taktik bestehe darin, eine dritte Partei, z.B. einen Auftragnehmer, zu kompromittieren, um Zugriff auf die „Teams“-Plattform des Unternehmens zu erhalten. Dies zeige, „wie wichtig es ist, jede Software von Drittanbietern, jede Person und jedes Team einer detaillierten Sicherheitsüberprüfung zu unterziehen, um deren Sicherheit zu gewährleisten“.

Erfolgreicher Hacker-Angriff kann zur vollständigen Übernahme des Geräts führen

Laut der aktuellen Studie von Lookout könnte ein erfolgreicher Angriff zu einer vollständigen Übernahme des Geräts führen. „Da die Wahrscheinlichkeit hoch ist, dass sich ein Angreifer zunächst durch Phishing Zugang verschafft hat, könnte er schließlich in den Besitz eines vertrauenswürdigen Geräts und vertrauenswürdiger Zugangsdaten gelangen. Dies ist eine bösartige Kombination, die es einem Angreifer ermöglichen könnte, auf alle Daten zuzugreifen, auf die der Benutzer und das Gerät Zugriff haben“, erläutert Schless und führt weiter aus:

„Sobald der Angreifer in die Infrastruktur eingedrungen ist, kann er sich seitlich bewegen und herausfinden, wo die wertvollsten Datenbestände versteckt sind. Von dort aus könnte er diese Daten verschlüsseln, um einen Ransomware-Angriff durchzuführen oder sie zum Verkauf im ,Darkweb‘ zu exfiltrieren. Diese Angriffskette ist der Grund, warum Unternehmen Sichtbarkeit und Zugriffskontrolle für Benutzer, ihre Geräte, die Anwendungen, auf die sie zugreifen wollen, und die darin gespeicherten Daten benötigen.“

Empfohlene Schutzmaßnahmen gegen Hacker-Attacken

Die Art dieses Angriffs zeige, wie wichtig es sei, alle Endpunkte, Cloud-Ressourcen sowie lokalen oder privaten Anwendungen in der gesamten Unternehmensinfrastruktur zu schützen. Es werde immer schwieriger, den Überblick darüber zu behalten, wie Benutzer und Geräte mit Anwendungen und Daten interagieren, „je mehr der Netzwerkperimeter als traditionelle Grenze der Unternehmensumgebung verschwindet“. Daher sei der Einsatz einer einheitlichen Plattform, „die sowohl mobile als auch PC-Endpunkte sowie Cloud-Dienste und privaten oder On-Prem-installierten Anwendungen berücksichtigt“, erforderlich. Dies sei die einzige Möglichkeit, das erforderliche Maß an Sichtbarkeit und Schutz vor der modernen Bedrohungslandschaft von heute zu gewährleisten.

„Um Angreifern, die diese Angriffskette ausnutzen wollen, einen Schritt voraus zu sein, sollten Unternehmen überall Sicherheit für mobile Geräte mit ,Mobile Threat Defense‘ (MTD) implementieren und Cloud-Dienste mit ,Cloud Access Security Broker‘ (CASB) schützen“, rät Schless. Zudem gelte es, den Webverkehr mit einem „Secure Web Gateway“ (SWG) zu überwachen und moderne Sicherheitsrichtlinien für ihre „On-Prem“- oder privaten Anwendungen mit „Zero Trust Network Access“ (ZTNA) zu implementieren.

Hacker-Angriffe auf Plattformen weisen ähnliche Taktiken auf

Die auf bestimmte Plattformen abzielenden Angriffe hätten ihre Nuancen, aber die generellen Taktiken seien offensichtlich sehr ähnlich. In „Slack“ und „Teams“ ließen sich auch öffentliche Kanäle betreiben, an denen man nicht unbedingt Teil des Unternehmens sein müsse, um daran teilzunehmen. Dies stelle ein massives Risiko für das Unternehmen dar – sowohl für unbefugten Zugriff als auch für den Verlust von Daten. Die Taktiken, um Zugang zu diesen beiden Plattformen sowie zu Kollaborations-Plattformen und anderen Anwendungen zu erhalten, seien im Allgemeinen recht ähnlich.

Schless unterstreicht: „Tatsache ist, dass Phishing heutzutage für Bedrohungsakteure die praktikabelste Option ist. Wenn ein Angreifer über legitime Zugangsdaten verfügt, um sich bei Unternehmensanwendungen anzumelden, ist die Wahrscheinlichkeit geringer, dass er bemerkt und aufgehalten wird.“ Unternehmen benötigten daher eine modernisierte Sicherheitsstrategie, welche in der Lage sein müsse, „anomale Anmeldungen, Dateiaktivitäten und Benutzerverhalten zu erkennen“.

Weitere Informationen zum Thema:

AVANAN, Jeremy Fuchs, 17.02.2022
Hackers Attach Malicious .exe Files to Teams Conversations



Kommentieren

Kommentar

Cybersicherheit & Datensouveränität

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung