이번 주의 규칙: Microsoft Teams 업데이트 악용

팬데믹이 시작된 이후, 화상 회의 솔루션은 많은 조직의 워크플로우에서 필수적인 부분이 되었습니다. 처음에는 Zoom이 앞서갔고, 많은 사이버 범죄자들이 즉시 이를 피싱 캠페인에 이용하기 시작하여, 이전에 이 기술을 사용하지 않았던 대량의 직원들이 있다는 사실을 악용했습니다. 곧 보안 연구원들은 부분적으로만 닫을 수 있는 취약점을 발견했습니다, 적절한 설정으로 조직은 Google Meet와 Microsoft Teams로 전환했습니다. 당연히, 보안 연구원들은 이러한 솔루션에 더 많은 주의를 기울이기 시작했고, 사이버 범죄자들이 공격 중에 사용할 수 있는 방법을 찾기 시작했습니다. 오늘 우리는 더 많은 관심을 기울일 수 있는 Microsoft Teams 업데이트 악용을 발견한 덴 이우즈빅 이 개발한 커뮤니티 규칙에 주목하시길 초대합니다: https://tdm.socprime.com/tdm/info/bV4m9VDDoGhV/dfNMw3MBQAH5UgbBqDoT/?p=1

적대자들은 Microsoft Teams 업데이트를 이용하여 원하는 이진 파일이나 페이로드를 다운로드할 수 있으며, 해당 업데이트는 공유 폴더나 로컬 폴더를 통해 제품 업데이트를 위한 로컬 연결을 허용합니다. 따라서 적대자들은 표적이 된 조직의 네트워크의 열린 공유 폴더 안에 악성 파일을 떨어뜨린 후 그 공유를 통해 피해자 기기로 페이로드에 접근할 수 있습니다. 공격자들은 이 방법을 사용하여 악성 트래픽을 숨길 수 있으며, 설치가 로컬 사용자 Appdata 폴더에서 이루어지기 때문에 특권 있는 접근이 필요하지 않습니다.

이 규칙에는 다음 플랫폼에 대한 번역이 포함됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 방어 회피

기법: 서명된 바이너리 프록시 실행 (T1218)

SOC Prime TDM을 시도할 준비가 되었나요? 무료로 가입하세요. 또는 업적 보상 프로그램에 참여하세요 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.