C
月内に
イランの国家支援グループMuddyWaterが、Microsoft Teamsを利用した巧妙なソーシャルエンジニアリング攻撃を展開しています
📌 一言でいうと
イランの国家支援グループMuddyWaterが、Microsoft Teamsを利用した巧妙なソーシャルエンジニアリング攻撃を展開しています。攻撃者は画面共有などの対話的な手法を用いて認証情報を窃取し、MFAを回避して組織に侵入します。本攻撃はランサムウェア攻撃を装った「偽旗作戦」であり、実際にはデータの窃取と長期的な潜伏を目的としています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- 社内でチャットツールとして『Microsoft Teams』を利用している
- Teamsで社外の人(外部ユーザー)とのチャットや通話が許可されている
- Teamsの『画面共有』機能を利用して、外部ベンダーや不審な相手に操作を任せたことがある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Microsoft Teamsでの不審な連絡や画面共有リクエストを拒否すること。MFAの強度を高め、不審なログイン試行の監視を強化すること。エンドポイントでの不審なプロセスの監視を徹底すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft Teamsを利用したなりすまし連絡への注意について
お疲れさまです。情報システム担当です。
現在、Microsoft Teamsを利用して、画面共有などを通じてパスワードや認証情報を盗み出そうとする巧妙な攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いであっても、不自然な画面共有の要求や、認証情報の入力を促す指示があった場合は、すぐに中断し報告してください。
2. 見知らぬ相手からのチャットやファイル送信には十分注意し、安易にリンクをクリックしないでください。
対応期限: 本日中(周知徹底をお願いします)
お疲れさまです。情報システム担当です。
現在、Microsoft Teamsを利用して、画面共有などを通じてパスワードや認証情報を盗み出そうとする巧妙な攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いであっても、不自然な画面共有の要求や、認証情報の入力を促す指示があった場合は、すぐに中断し報告してください。
2. 見知らぬ相手からのチャットやファイル送信には十分注意し、安易にリンクをクリックしないでください。
対応期限: 本日中(周知徹底をお願いします)
Subject: [Security Alert] Beware of Impersonation Attacks via Microsoft Teams
Dear employees,
We have received reports of sophisticated attacks where threat actors use Microsoft Teams to steal credentials through social engineering and screen-sharing requests.
What we need from you:
1. Be extremely cautious of any requests for screen-sharing or prompts to enter your credentials, even if the request seems to come from a known contact.
2. Do not click on links or open files sent by unknown or suspicious users via Teams.
Deadline: Immediate (Please review and stay vigilant)
Dear employees,
We have received reports of sophisticated attacks where threat actors use Microsoft Teams to steal credentials through social engineering and screen-sharing requests.
What we need from you:
1. Be extremely cautious of any requests for screen-sharing or prompts to enter your credentials, even if the request seems to come from a known contact.
2. Do not click on links or open files sent by unknown or suspicious users via Teams.
Deadline: Immediate (Please review and stay vigilant)
件名: 【共有】MuddyWaterによるMicrosoft Teamsを悪用した偽旗作戦への対応について
お疲れさまです。MuddyWaterによる標的型攻撃に関する情報共有です。
■ 概要
イラン系APTグループMuddyWaterが、Microsoft Teamsでの対話的なソーシャルエンジニアリング(画面共有等)を用いて認証情報を窃取し、MFAを回避して侵入する手法が確認されました。ランサムウェア(Chaosブランド)を装っていますが、実態はデータ窃取と永続性確保を目的としたスパイ活動です。
■ 影響範囲
- Microsoft Teamsを利用している全組織
■ 対応手順
1. Teamsの監査ログを確認し、不審な外部ユーザーとの通信や異常なログイン試行がないか調査してください。
2. MFAの構成を見直し、プッシュ通知の乱用(MFA Fatigue)への対策を検討してください。
3. EDR等の監視ツールにて、認証情報窃取に関連する不審なプロセスの挙動を監視してください。
■ 参考情報
- Rapid7 Report / The Hacker News
対応優先度: 高
対応期限: 速やかに
お疲れさまです。MuddyWaterによる標的型攻撃に関する情報共有です。
■ 概要
イラン系APTグループMuddyWaterが、Microsoft Teamsでの対話的なソーシャルエンジニアリング(画面共有等)を用いて認証情報を窃取し、MFAを回避して侵入する手法が確認されました。ランサムウェア(Chaosブランド)を装っていますが、実態はデータ窃取と永続性確保を目的としたスパイ活動です。
■ 影響範囲
- Microsoft Teamsを利用している全組織
■ 対応手順
1. Teamsの監査ログを確認し、不審な外部ユーザーとの通信や異常なログイン試行がないか調査してください。
2. MFAの構成を見直し、プッシュ通知の乱用(MFA Fatigue)への対策を検討してください。
3. EDR等の監視ツールにて、認証情報窃取に関連する不審なプロセスの挙動を監視してください。
■ 参考情報
- Rapid7 Report / The Hacker News
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] MuddyWater False Flag Operation via Microsoft Teams
Dear Security Team,
This is a technical alert regarding a campaign by the Iranian APT group MuddyWater.
■ Overview
MuddyWater is employing high-touch social engineering via Microsoft Teams, utilizing interactive screen-sharing to harvest credentials and bypass MFA. While the attack masquerades as a ransomware operation (Chaos brand), it is a false flag designed for data exfiltration and long-term persistence.
■ Scope
- All organizations utilizing Microsoft Teams
■ Mitigation Steps
1. Review Microsoft Teams audit logs for suspicious external communications or anomalous login patterns.
2. Strengthen MFA configurations to prevent MFA fatigue and unauthorized access.
3. Enhance EDR monitoring for credential dumping tools and unusual persistence mechanisms.
■ Reference
- Rapid7 Report / The Hacker News
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical alert regarding a campaign by the Iranian APT group MuddyWater.
■ Overview
MuddyWater is employing high-touch social engineering via Microsoft Teams, utilizing interactive screen-sharing to harvest credentials and bypass MFA. While the attack masquerades as a ransomware operation (Chaos brand), it is a false flag designed for data exfiltration and long-term persistence.
■ Scope
- All organizations utilizing Microsoft Teams
■ Mitigation Steps
1. Review Microsoft Teams audit logs for suspicious external communications or anomalous login patterns.
2. Strengthen MFA configurations to prevent MFA fatigue and unauthorized access.
3. Enhance EDR monitoring for credential dumping tools and unusual persistence mechanisms.
■ Reference
- Rapid7 Report / The Hacker News
Priority: High
Deadline: Immediate