Microsoft、Teams チャット経由で配布される新たなマルウェアの脅威について警告

Microsoft は、Microsoft Teams チャットを使用してマルウェアを配布している攻撃者に関するサイバーセキュリティ警告を送信しました。この攻撃者は Storm-0324 として分類されており、Microsoft によれば、このグループは 2016 年から活動しているとのことです。

Microsoft はブログ投稿で、2023 年 7 月に「Storm-0324 がオープンソース ツールを使用して Microsoft Teams チャットを通じてフィッシング ルアーを送信するペイロードを配布しているのが観察された」と述べました。ブログでは、このグループが 2019 年以来主に JSSLoader マルウェアを配布していると付け加えましたこのマルウェアは、Sangria Tempest として知られる別の攻撃者グループによって使用され、ランサムウェア ファイルを PC に配置する可能性があります。

マイクロソフトは次のように説明しました。

Storm-0324 の配信チェーンは、請求書や支払いを参照し、ZIP アーカイブをホストする SharePoint サイトへのリンクを含むフィッシングメールから始まります。Microsoft は、プラットフォーム全体で悪用を特定し、悪意のあるアクティビティを削除し、悪意のある行為者によるサービスの使用を阻止するための新しいプロアクティブな保護を実装するために継続的に取り組んでいます。

Microsoft は、これらの電子メールは DocuSign、Quickbooks などの企業からの本物の文書のように見える可能性があると付け加えています。場合によっては、これらのファイルでは、マルウェアの被害者がセキュリティ コードまたはパスワードを入力する必要もあります。これにより、これらの虚偽の文書がより現実的に見えるようになります。

Microsoftは、この種のマルウェアがTeamsチャットで配布されるのを防ぐためにいくつかの対策を講じたと述べている。これには、不正行為が確認されたアカウントの停止も含まれる。

また、1 対 1 の Teams チャットの承認/ブロック エクスペリエンスにも改善が加えられました。同社はまた、「テナント内でのドメインの作成と、テナント内で新しいドメインが作成された場合のテナント管理者への通知の改善」に新たな制限を設けた。

Microsoft はまた、チーム チャットを使用する企業がこの新しいフィッシング攻撃の影響を受けないようにするための予防策を講じる方法をいくつか挙げています。これには、既知のデバイスのみ Teams への接続を許可すること、フィッシングやマルウェア攻撃がどのように行われるかについて従業員を教育すること、不審なサインイン アクティビティをレビューすることなどが含まれます。