Zurück
DarkGate ist eine Standard-Malware mit mehreren Funktionen, darunter die Möglichkeit, Dateien herunterzuladen und in den Speicher auszuführen, ein verstecktes HVNC-Modul (Virtual Network Computing), Keylogging, Funktionen zum Diebstahl von Informationen und Privilegienausweitung. Diese Malware wurde in den letzten Monaten seit mindestens September 2023 in mehreren Kampagnen verbreitet, und eines der gemeinsamen Merkmale dieser Kampagnen war die kontinuierliche Ausnutzung legitimer Cloud-Dienste wie Microsoft Teams, Skype, Google Drive oder Dropbox, um die bösartige Nutzlast zu verbreiten.
Es sieht jedoch so aus, als ob die Bedrohungsakteure zu den Grundlagen zurückgekehrt sind, da Sicherheitsforscher von AT&T Cybersecurity eine neue Kampagne aufgedeckt haben, die Microsoft Teams missbraucht, um die bösartige Nutzlast zu liefern. Insbesondere nutzten Bedrohungsakteure externe Gruppenchat-Anfragen aus (der externe Zugriff ist in Microsoft Teams standardmäßig aktiviert), um bösartige Anhänge zu verbreiten und die DarkGate-Malware-Payloads auf den Systemen der Opfer zu installieren. Noch interessanter ist, dass die Angreifer einen kompromittierten Teams-Benutzer (oder eine kompromittierte Domäne) verwendeten, um mehr als 1.000 bösartige Teams-Gruppenchat-Einladungen zu versenden, die die bösartige Nutzlast als Microsoft Installer-Datei mit doppelter Erweiterung enthielten, die als PDF getarnt war.
Diese Kampagne ist ein perfektes Beispiel dafür, warum legitime Cloud-Dienste für Cyberkriminelle so attraktiv sind: Auf der einen Seite bietet ein kompromittierter Cloud-Dienst den Angreifern mehrere zusätzliche Werkzeuge, um ihre Kampagne ausweichender und erfolgreicher zu gestalten (in diesem Fall haben die Angreifer den Microsoft Teams-Chat eines kompromittierten Mandanten ausgenutzt), auf der anderen Seite ist es viel einfacher, eine bösartige Nutzlast in einem legitimen Datenverkehr zu verbergen, wo dies bei Unternehmen zu oft nicht der Fall ist Setzen Sie die gleichen Sicherheitskontrollen durch, die auf herkömmlichen Web-Traffic angewendet werden. Es ist kein Zufall, dass Microsoft SharePoint (die Cloud-Speicher-App, die von Microsoft Teams verwendet wird) (zusammen mit einer anderen bekannten Microsoft-Anwendung) einer der am häufigsten ausgenutzten Cloud-Dienste für Malware-Downloads ist.
Minderung der Risiken von Malware, die von legitimen Cloud-Diensten bereitgestellt wird
Natürlich wäre die erste Empfehlung, den externen Zugriff von Microsoft Teams aus zu deaktivieren, aber wenn dies für das Unternehmen nicht möglich ist, ist diese App (und ihr Speicherpendant SharePoint) einer von Tausenden von Cloud-Diensten, bei denen die Netskope Next Gen SWG adaptive Zugriffskontrolle, Bedrohungsschutz und Schutz vor Datenverlust bieten kann. Sie gehören auch zu den Hunderten von Apps, für die die Instanzerkennung verfügbar ist. In Fällen, in denen diese Dienste ausgenutzt werden, um eine bösartige Nutzlast zu übermitteln, ist es möglich, eine Richtlinie zu konfigurieren, um potenziell gefährliche Aktivitäten (z. B. "Hochladen" und "Herunterladen") nur von nicht unternehmensinternen SharePoint-Instanzen zu verhindern.
Netskope-Kunden sind durch Netskope Threat Protection auch vor Malware geschützt, die von ähnlichen legitimen Cloud-Diensten (und dem Web im Allgemeinen) verbreitet wird. Netskope Threat Protection scannt Web- und Cloud-Datenverkehr, um bekannte und unbekannte Bedrohungen mit einem umfassenden Satz von Engines zu erkennen, darunter signaturbasiertes AV, Machine-Learning-Detektoren für ausführbare Dateien und Office-Dokumente sowie Sandboxing mit Patienten-Null-Schutz. Netskope Threat Intelligence kann auch Command-and-Control-Verbindungen erkennen, selbst wenn sie an einen legitimen Cloud-Dienst weitergeleitet werden. Die Funktionen zum Schutz vor Bedrohungen können durch Netskope Cloud Exchange erweitert werden, das leistungsstarke Integrationstools bietet, um Investitionen in die Sicherheitslage der Benutzer durch die Integration mit Tools von Drittanbietern wie Threat Intelligence-Feeds, Endpunktschutz und E-Mail-Schutztechnologien zu nutzen.
Das Risiko eines kompromittierten Mandanten kann proaktiv durch Netskope SaaS Security Posture Management (SSPM) gemindert werden, das SaaS-Sicherheitseinstellungen, Richtlinien und Best Practices kontinuierlich überwacht und durchsetzt, um Sicherheits- und Compliance-Risiken sowie mögliche Fehlkonfigurationen zu reduzieren, die von den Angreifern ausgenutzt werden können, um den Mandanten zu kompromittieren. Die Netskope Behavior Analytics ermöglicht es, Anomalien wie z. B. Aktivitäten von kompromittierten Konten im Unternehmensmandanten zu erkennen, wodurch das Risiko einer böswilligen Ausnutzung durch die Angreifer verringert wird.
Schließlich bietet Netskope Advanced Analytics spezifische Dashboards zur Bewertung des Risikos, dass nicht autorisierte Cloud-Instanzen ausgenutzt werden, um Malware zu verbreiten, oder des Risikos, Ziel anomaler Kommunikation zu werden, mit umfangreichen Details und Einblicken, die Sicherheitsteams bei der Analyse und Abwehr/Behebung unterstützen.
Bleiben Sie gesund!
Den Blog lesen