新聞來源：https://www.ithome.com.tw/news/158086
新聞名稱：俄羅斯駭客利用Microsoft Teams展開網釣攻擊

基礎知識

網釣攻擊 Phishing

• 定義

  • 釣魚攻擊偽裝成對方信任的信件、網站騙取個人資料

  • 個資

    • 帳號名稱、密碼及信用卡

Microsoft 365 (M365)

• 定義

  • 微軟雲端辦公的工具組合

  • 例如

    • Office、Outlook、OneDrive、Teams

子網域 (Subdomain)

• 定義

  • 子網域是次級域名，用於企業網站的不同部分或提供不同的服務。

• 舉例

  • 主要域名

    • google.com

  • 子域名

    • mail.google.com

Microsoft Authenticator

• 定義

  • 微軟提供的雙因素認證應用程式

• 目的

  • 生成一次性密碼或接收登入確認

Active Directory Federation Service

(AD FS)

• 定義

  • AD FS 是一種提供單點登錄(SSO)以存取跨企業或跨網路的應用程式的服務

社交工程

攻擊

• 定義

  • 駭客利用人的行為和心理特性，引誘受害者進行不當的行為。

事件整理

背景

• 微軟

  • Midnight Blizzard

手法

• 初始

  • 微軟的服務進行攻擊

  • 滲透了多個Microsoft 365的小型企業租戶帳號

• 子網域

  • 利用已滲透的M365租戶的權限

  • 駭客建立了新的、合法的onmicrosoft.com子網域

  • 以“安全”或“產品名稱”為命名

• 欺詐

  • 新建的子網域下新增使用者

  • 用 Microsoft Teams 向受害企業的使用者發訊息

  • 欺騙使用者去操作不安全的行為

• 過程

  • 駭客假冒微軟身分認證保護服務

  • 受害者接受了駭客透過 Teams 發送的聊天要求

  • 誘導受害者開啟Microsoft Authenticator應用程式

  • 並輸入特定號碼以生成一次性密碼

  • 受害者被欺騙提供這一次性密碼給駭客

  • 駭客因此獲得了受害者的 M365 帳號存取權限

防護建議

• 部署

  • 反網釣機制

• 限制

  • 與外部網域的通訊

  • 僅允許已知設備的存取

• 教育

  • 使用者關於社交工程的風險

• 辨識

  • Microsoft Teams 來自外部的標記

目標

• 2023 年 05 月

  • 超過 30 個單位

• 目標

  • 政府組織、外交機構、非政府組織以及IT服務供應商

• 目的

  • 進行間諜活動

其他攻擊手法

• 竊取憑證

• 進行供應鏈攻擊

• 先攻擊本地環境再移到雲端

• 利用對特定供應商的信任感染下游客戶

• Active Directory Federation Service（AD FS）的惡意程式

小試身手

駭客組織滲透了哪個服務的小型企業租戶

• a) Google Workspace

• b) Microsoft 365

• c) Amazon Web Services

• d) Apple iCloud

• 答案

  • b) Microsoft 365

駭客使用哪個聊天工具傳訊

給目標組織的使用者

• a) Slack

• b) Microsoft Teams

• c) Zoom

• d) Skype

• 答案

  • b) Microsoft Teams

駭客誘導使用者開啟哪個應用程式

以騙取一次性密碼

• a) Google Authenticator

• b) Microsoft Authenticator

• c) LastPass

• d) Duo Mobile

• 答案

  • b) Microsoft Authenticator

駭客組織 Midnight Blizzard

的主要目的是什麼

• a) 勒索

• b) 資料竊取

• c) 間諜行動

• d) 網路破壞

• 答案

  • c) 間諜行動

下列哪一個可能不是

Midnight Blizzard 的主要攻擊對象

• a) 政府組織和外交單位

• b) 非政府組織

• c) IT 服務供應商

• d) 醫療組織

• 答案

  • d) 醫療組織