DarkGate-malware geleverd via Microsoft Teams - detectie en reactie
Hoewel de meeste eindgebruikers goed op de hoogte zijn van de gevaren van traditionele phishing-aanvallen, zoals aanvallen via e-mail of andere media, is een groot deel zich er waarschijnlijk niet van bewust dat Microsoft Teams-chats een phishing-vector kunnen zijn. Dit meldt AT&T in een blog.
AT&T meldt: 'De meeste Teams-activiteiten vinden plaats binnen de organisatie, maar Microsoft schakelt standaard externe toegang in, waardoor leden van de ene organisatie gebruikers buiten de organisatie kunnen toevoegen aan hun Teams-chats. Wellicht voorspelbaar heeft deze functie kwaadwillende actoren een nieuwe mogelijkheid geboden om ongetrainde of onbewuste gebruikers uit te buiten.
In een recent voorbeeld heeft een klant van AT&T Cybersecurity Managed Detection and Response (MDR) proactief contact opgenomen met zorgen over een gebruiker die zich buiten zijn domein bevond en een ongevraagde Teams-chat naar verschillende interne leden stuurde. Er werd vermoed dat de chat een phishing-lokmiddel was. De klant heeft de gebruikersnaam van de externe gebruiker opgegeven, evenals de ID's van meerdere gebruikers waarvan is bevestigd dat ze het bericht hebben geaccepteerd.
Met deze informatie kon het AT&T Cybersecurity MDR SOC-team de beoogde gebruikers identificeren, evenals verdachte bestandsdownloads die door sommigen van hen waren geïnitieerd. Uit een beoordeling van de tactieken en indicatoren van compromissen (IOC's) die door de aanvaller werden gebruikt, bleek dat deze in verband werden gebracht met DarkGate-malware, en het MDR SOC-team kon de aanval afslaan voordat er enige aanzienlijke schade werd aangericht.'
