Microsoft แจ้งเตือนว่า พบกลุ่มผู้ไม่หวังดีได้นำฟีเจอร์การทำงานร่วมกับบุคคลภายนอกของ Microsoft Teams มาใช้ในการโจมตีเพิ่มมากขึ้นเรื่อย ๆ โดยอาศัยเครื่องมือที่มีอยู่ตามปกติในการเข้าถึง และแฝงตัวขยายผลเข้าสู่ระบบเครือข่ายขององค์กร
เหตุการณ์ล่าสุดที่กำลังเป็นประเด็นร้อนในโลกไซเบอร์ ขณะนี้คือการโจมตีแบบ “Social Engineering” ที่แฮกเกอร์ใช้ Microsoft Teams ในการเข้าถึงตัวพนักงานขององค์กร โดยแอบอ้างว่าเป็นฝ่าย IT Support เมื่อเหยื่อหลงเชื่อ แฮกเกอร์ก็จะขอให้เปิดโปรแกรม Quick Assist (ที่มากับ Windows) แล้วขอควบคุมเครื่อง เพื่อสั่งรันคำสั่งติดตั้งมัลแวร์โหลดเดอร์ “Matanbuchus 3.0”เพื่อควบคุมระบบโดยพนักงานไม่รู้ตัว
Microsoft เผยว่าแฮ็กเกอร์ในกองทัพรัสเซียใช้ระบบแชตใน Microsoft Teams ในการส่งข้อความฟิชชิงในการล้วงข้อมูลเหยื่อ Microsoft เรียกกลุ่มนี้ว่า Midnight Blizzard ในอีกชื่อหนึ่งคือ NOBELIUM หรือ Cozy Bear ที่หลายประเทศเชื่อว่าเป็นปฏิบัติการของหน่วยข่าวกรองต่างประเทศของรัสเซีย วิธีการโจมตีก็คือ Midnight Blizzard จะใช้บัญชี Microsoft 365 ของธุรกิจขนาดเล็กที่แฮ็กมาได้ในการสร้างโดเมนใหม่ที่ปลอมตัวเป็นเว็บไซต์ให้ความช่วยเหลือด้านเทคนิค และส่งข้อความผ่าน Teams เพื่อหลอกขอข้อมูลล็อกอินจากองค์กรเป้าหมาย Microsoft ชี้ว่าปัจจุบันมีองค์กรที่ตกเป็นเหยื่อแล้วราว ๆ 40 องค์กรทั่วโลก ทั้งที่เป็นหน่วยงานภาครัฐ องค์กรไม่ใช่รัฐ บริการไอที บริษัทเทคโนโลยี บริษัทอุตสาหกรรม และองค์กรสื่อ ที่แฮ็กเกอร์กลุ่มนี้เปลี่ยนชื่อบัญชีและเพิ่มผู้ใช้รายใหม่เข้ามาในรายชื่อติดต่อ และส่งข้อความ Team ที่ติดป้ายด้านความมั่นคงปลอดภัยและชื่อผลิตภัณฑ์เพื่อสร้างความสนใจให้เหยื่อเปิดข้อความ Microsoft ได้ปิดโดเมนที่มีปัญหาแล้ว แต่ยังตรวจสอบเหตุการณ์และผลกระทบที่เกิดขึ้นต่อไป ที่มา therecord …
ผู้เชี่ยวชาญด้านความปลอดภัยจาก Vectra AI พบ Microsoft Teams เก็บ Authentication Token แบบ Cleartext ไม่มีการเข้ารหัส ผู้เชี่ยวชาญจาก Vectra AI ได้ค้นพบจุดอ่อนนี้โดยบังเอิญในระหว่างการหาวิธีลบ Disable Account ออกจาก Client App โดยพบว่า ในไฟล์ ldb มีการเก็บ Access Token เป็นแบบ Cleartext และไม่มีการเข้ารหัสใด ๆ โดย Access Token นี้สามารถนำไปใช้ในการเข้าถึง Outlook และ Skype API ได้ นอกจากนี้ยังพบว่า มีการเก็บฐานข้อมูล Cookies ที่มีข้อมูล Access Token เอาไว้เช่นเดียวกัน ซึ่งสามารถใช้ Sqlite 3 database client เปิดอ่านได้อย่างง่ายดาย…
เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว
