Regola della Settimana: Abuso dell’Aggiornamento di Microsoft Teams

Ultime Minacce

Agosto 07, 2020

2 min di lettura

Regola della Settimana: Abuso dell’Aggiornamento di Microsoft Teams

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Dall’inizio della pandemia, le soluzioni per videoconferenze sono diventate parte integrante del flusso di lavoro in molte organizzazioni. Inizialmente, Zoom ha preso il comando e molti criminali informatici hanno subito iniziato a utilizzarlo in campagne di phishing, sfruttando il fatto che un gran numero di dipendenti non aveva mai utilizzato prima questa tecnologia. Ben presto, i ricercatori di sicurezza hanno scoperto lacune che potevano essere chiuse solo parzialmente con le impostazioni giuste, e le organizzazioni sono passate a Google Meet e Microsoft Teams. Naturalmente, i ricercatori di sicurezza hanno iniziato a prestare più attenzione a queste soluzioni e a trovare modi che i criminali informatici possono utilizzare durante gli attacchi. E oggi vi invitiamo a prestare attenzione alla regola della comunità sviluppata da Den Iuzvik che scopre l’abuso dell’aggiornamento di Microsoft Teams: https://tdm.socprime.com/tdm/info/bV4m9VDDoGhV/dfNMw3MBQAH5UgbBqDoT/?p=1

Gli avversari possono utilizzare l’aggiornamento di Microsoft Teams per scaricare qualsiasi binario o payload desiderino poiché l’aggiornamento consente connessioni locali tramite una condivisione o una cartella locale per gli aggiornamenti del prodotto. Pertanto, gli avversari possono inserire il file dannoso all’interno della rete dell’organizzazione presa di mira in una cartella condivisa aperta e quindi accedere al payload da quella condivisione al computer della vittima. Gli attaccanti possono utilizzare questo metodo per nascondere il traffico dannoso e, dato che l’installazione avviene nella cartella Appdata dell’utente locale, non è necessario un accesso privilegiato.

 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione, Evasione della Difesa

Tecniche: Esecuzione di un Proxy Binario Firmato (T1218)

Pronti a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko