熱門的辦公室通訊平台,如何被網路犯罪分子濫用?

網路犯罪分子利用聊天平台API作為 C&C 基礎設施

聊天平台如 Discord、Slack和Telegram已經成為相當熱門的辦公室通訊工具,這三個例子都深受世界各地企業和組織的青睞。一個重要的原因是這些聊天平台可以讓使用者透過API將他們的應用程式與自己的平台整合。這種作法在工作環境內可以減少應用程式切換的時間,進而簡化工作流程並提高效率。但有一點必須提出來,這樣的功能是否會被網路犯罪分子濫用?畢竟,我們已經看過許多將合法服務和應用程式用在惡意網路犯罪行為的例子,像是IRC就是個知名的例子,曾在過去被許多網路犯罪分子作為「Botnet傀儡殭屍網路」的命令與控制(C&C)基礎設施。

將聊天平台API轉換為命令與控制基礎設施

趨勢科技的研究重點是分析這些聊天平台API是否可作為C&C之用,並且看看是否有現行惡意軟體在利用此漏洞。通過大量的監視、研究和製作概念證明程式碼,我們已經可以證明每個聊天平台的 API功能都可能被濫用 – 將聊天平台轉變成C&C伺服器,網路犯罪分子可藉此與中毒或被駭系統進行通訊。

發現濫用API的惡意軟體樣本

我們對聊天平台的大量監視也顯示出網路犯罪分子已經在利用這些聊天平台進行惡意攻擊。在Discord,發現許多惡意軟體,包括檔案注入程式,甚至是 比特幣Bitcoin) 採礦程式。同時,Telegram也被發現遭到某些KillDisk變種及TeleCrypt(一種勒索病毒 Ransomware (勒索軟體/綁架病毒))所濫用。至於Slack,在本文撰寫時尚未在聊天平台本身發現任何惡意活動的跡象。

關於此安全問題,企業需要注意的是,封鎖這些聊天平台的API意味著讓它們無法使用,監視可疑的Discord/Slack/Telegram網路連線流量也是白費工夫,因為惡意軟體與使用者所發動的連線之間並沒有什麼可供辨別的差異性。

至於企業應該完全避免使用這些聊天平台嗎?關鍵在於企業目前的安全狀態。如果使用聊天平台的企業網路/端點安全性維持在最新狀態,並且企業內的員工都保持安全的使用習慣,那麼它所帶來的便利性與高效率便可能值得這潛在的風險。

給使用者的建議

  1. 保持通訊和帳號憑證的機密性。不要透露給任何人或與其他人共用。
  2. 不要點入可疑連結,即使是來自你的聯絡人。
  3. 不要下載任何可疑檔案,即使是來自你的聯絡人。
  4. 嚴格遵守安全上網與系統使用習慣。
  5. 切勿將聊天服務帳號用在工作目的之外。

 

給企業的建議:

  1. 對員工要求嚴格的規定和安全使用習慣。
  2. 教育員工和主管何為網路犯罪詐騙,如網路釣魚詐騙和垃圾郵件等。
  3. 確保IT人員了解聊天平台可能出現的威脅,並監控可疑網路活動。
  4. 評估聊天平台的使用對於日常運作是否真的相當重要。如果沒有就停止使用。

 

關於我們的研究技術細節可以參考我們的最新報告 – 網路犯罪分子可以利用聊天程式API作為命令與控制基礎設施

 

@原文出處:How New Chat Platforms Can Be Abused by Cybercriminals