今週のルール: Microsoft Teamsのアップデーター悪用

パンデミックの始まり以来、ビデオ会議ソリューションは多くの組織のワークフローにとって不可欠な部分となりました。当初はZoomが主導権を握り、多くのサイバー犯罪者がただちにフィッシングキャンペーンでこれを利用し、大勢の従業員が以前にこの技術を使ったことがないという事実を利用しました。その後すぐに、セキュリティ研究者たちは、部分的にしか閉じられないギャップを発見しました。 適切な設定を行い、組織はGoogle MeetやMicrosoft Teamsに移行しました。当然、セキュリティ研究者たちはこれらのソリューションに より注意を払い始め 、攻撃時にサイバー犯罪者が利用できる方法を見つけています。そして今日、あなたに注目していただきたいのはMicrosoft Teamsのアップデーターの悪用を明らかにする Den Iuzvik が開発したコミュニティルールです。 https://tdm.socprime.com/tdm/info/bV4m9VDDoGhV/dfNMw3MBQAH5UgbBqDoT/?p=1

攻撃者はMicrosoft Teams Updaterを利用して、ローカル接続を共有またはローカルフォルダー経由での製品更新を通じて任意のバイナリまたはペイロードをダウンロードできます。したがって、攻撃者は標的組織のネットワーク内のオープン共有フォルダーに悪意のあるファイルを落としてから、その共有から被害者マシンにペイロードにアクセスできます。この方法で悪意のあるトラフィックを隠すことができ、インストールがローカルユーザーのAppdataフォルダーにあるため、特権アクセスは必要ありません。

このルールには次のプラットフォームに対する翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行、防御回避

技術: 署名付きバイナリプロキシ実行 (T1218)

SOC Prime TDMを試してみますか？ 無料でサインアップ。または Threat Bounty Programに参加 して、自分自身のコンテンツを制作し、TDMコミュニティと共有しましょう。