مایکروسافت بیش از 200 حمله باجافزار را که کاربران "Teams" را هدف قرار داده بود، خنثی کرد
شرکت مایکروسافت توانست یک کمپین سایبری پیشرفته از حملات "باجافزار" (Ransomware) را که کاربران پلتفرم همکاری خود "Teams" را هدف قرار داده بود، خنثی کند. پاسخ اصلی شامل باطل کردن بیش از دویست گواهی امضای دیجیتال بود که برای جعل یک شرکت جعلی بر روی نرمافزارهای مخرب و انتشار آنها استفاده شده بود.
تحقیقات نشان داد که گروه هکری "Vanilla Tempest" _که همچنین به نام "VICE SPIDER" و "Vice Society"_ شناخته میشود، پشت این حملات است که از اوایل اکتبر آغاز شده است. این گروه که انگیزههای مالی دارد و به دنبال هدف قرار دادن بخشهای آموزش، بهداشت و فناوری است، از طریق دامنههای جعلی که شبیه پلتفرم رسمی "Teams" هستند، کاربران را فریب داده است.
هدف از این دامنههای فریبنده نصب یک برنامه جعلی "Teams" بود که به عنوان دروازهای برای کاشت نرمافزار مخرب به نام "Bleeping Computer" عمل میکرد. مایکروسافت هشدار داد که این نرمافزار، "هنگامی که اجرا شود، به هکرها دسترسی از راه دور به دستگاههای آلوده میدهد، فایلها را استخراج میکند، دستورات را اجرا میکند و نرمافزارهای مخرب اضافی را بارگذاری میکند."
"Vanilla Tempest" به یک روش پیشرفته برای پنهانسازی روی آورد، زیرا "از یک امضای دیجیتال معتبر برای فریب سیستمهای امنیتی و جعل نرمافزارهای مخرب به عنوان نرمافزارهای معتبر استفاده کرد." این روش به آنها اجازه داد تا از دفاعهای بسیاری از قربانیان بالقوه عبور کنند.
پس از کشف تهدید، مایکروسافت به طور قاطع اقدام کرد و بیش از 200 گواهی دیجیتال که در امضای نصبکنندههای مخرب استفاده میشدند را باطل کرد. این اقدام منجر به "از دست دادن اعتبار این نصبکنندهها و در نتیجه مورد شک و نظارت سیستمهای امنیتی قرار گرفتن آنها شد." همچنین "توانایی مهاجمان برای پنهان شدن پشت امضاهای دیجیتال معتبر کاهش یافت، که انتشار نرمافزارهای مخرب از طریق کانالهای فریبندهای که ایجاد شده بود را مختل کرد."
با وجود موفقیت در غیرفعال کردن بخش بزرگی از کمپین، مایکروسافت کاربران را از این که "هنوز خطر تلاشهای دیگر در آینده وجود دارد که مدلهای جدیدی برای فریب کاربران از طریق پنهانسازی دیجیتال اتخاذ میکنند"، هشدار میدهد.
در شرایط ادامه تهدیدات، شرکت بر اهمیت هوشیاری امنیتی تأکید میکند و به کاربران توصیه میکند که قبل از بارگذاری برنامهها، منبع هر لینک را به دقت بررسی کنند و از کلیک بر روی تبلیغات یا لینکهای غیرمعتبر که ادعای ارائه نصب رسمی دارند، خودداری کنند. همچنین بر ضرورت اجرای مداوم و بهروزرسانی نرمافزارهای امنیتی تأکید میکند. برای مؤسسات، توصیه میکند که سیاستهای امنیتی سختگیرانهتری را اتخاذ کنند که شامل تشدید دسترسی به امضاهای نرمافزاری و اعمال تأیید چندگانه هنگام نصب برنامهها باشد.
