Certified Security Operations Center GmbH

18. März 2022

Microsoft Teams-Nutzer im Visier von Hackern

Spätestens seit Beginn der Corona-Pandemie nutzt ein Großteil der Unternehmen Collaboration-Tools zur internen und externen Kommunikation. „Microsoft Teams“ ist in Deutschland dabei eines der beliebtesten. Mit gegenwärtig rund 270 Millionen monatlichen Nutzern ist es jedoch auch ein lukratives Ziel für Cybergangriffe.

Forscher von Avanan haben seit Januar tausende Angriffe auf Microsoft Teams-Konten aufgedeckt. Dabei ist es das Hauptziel von Cyberkriminellen, schädliche Dateien an Konversationen anzuhängen, um sie an möglichst viele User zu verteilen. Doch wie gelingt ihnen das und wie gehen sie vor? – Im folgenden Beitrag möchten wir gerne näher darauf eingehen und Ihnen die Hintergründe erläutern.

Wie verschaffen sich Hacker Zugänge zu Teams-Konten?

Hacker verschaffen sich Zugang zu Teams-Konten, indem sie einen Benutzer mithilfe von East-West-Angriffen über schadhafte E-Mails oder mit Anmeldedaten, die sie bei anderen Phishing-Angriffen gesammelt haben, täuschen. Sie melden sich mit den erbeuteten Anmeldedaten bei den entsprechenden Konten an und fügen eine ausführbare Datei namens „User Centric.exe“ in einen Chat ein, um die Teilnehmer zum Öffnen der Datei zu verleiten. Wenn der Code ausgeführt wird, installiert dieser in der Folge DLL-Dateien und erstellt Verknüpfungen, um sich selbst zu verwalten.

Was sind East-West-Angriffe?

Wenn Cyberkriminelle zunächst einen Einstiegspunkt im Rechenzentrum lokalisieren und ihn dann als Stützpunkt nutzen, um seitliche Angriffe auf die internen Server zu starten bzw. um im gesamten Unternehmen seitlich von Server zu Server zu wechseln, wird von East-West-Angriffen bzw. Lateral Movement gesprochen.

Welche Angriffsziele gibt es?

Angreifer könnten eine Partnerorganisation ins Visier nehmen und die Chats zwischen den Organisationen abhören. Zudem könnten sie auf Teams und andere Office-Anwendungen zugreifen und Informationen über installierte Verteidigungslösungen finden. Auf diese Weise können sie geeignete Malware auswählen, mit der sie diese Schutzmaßnahmen umgehen können. Möglich machen es Office 365-Anmeldedaten, die bei früheren Angriffen gestohlen wurden.

Quellen:

https://cyware.com/

https://www.avanan.com/

Unsere Handlungsempfehlungen:

– Verwenden Sie eine mehrstufige Authentifizierung mit einem starken zweiten Faktor.

– Ändern Sie Ihre Zugangsdaten regelmäßig und verwenden Sie unterschiedliche sowie komplexere Passwörter für verschiedene Konten und Anwendungen.

– Sensibilisieren Sie Ihre Mitarbeiter im Umgang mit Phishing-E-Mails, indem Sie ihnen Awareness-Schulungen anbieten.

– Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind, da diese möglicherweise Malware enthalten.

– Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.

-Mitarbeiter sollten sich an die IT-Abteilung wenden, wenn sie eine verdächtige Datei entdecken.

error: