目录
TeamFiltration:制药公司不能忽视的账户接管活动
出版日期:2025 年 6 月 | 作者:SoftGroup 编辑团队
一项新的网络安全活动正针对基于云的商业环境,特别是 Microsoft 365 用户。该活动名为 TeamFiltration,其方法简单但有效:暴力攻击、凭证填充和高度针对性的网络钓鱼。
对于制药公司,尤其是依赖 Microsoft 365 管理合规性和供应链运营的药品上市许可持有人 (MAH)、合同生产组织 (CMO) 和制造商而言,这无疑成为 IT 团队关注的焦点,并将成为下一个令人头疼的问题。这直接威胁到合规性、数据完整性和运营连续性。
为什么制药公司成为目标
TeamFiltration 背后的攻击者并非随机扫描。他们瞄准的是那些窃取访问权限能够带来真正价值的行业:敏感记录、监管时间表以及合作伙伴的机密沟通。制药行业恰恰符合这一特征。
如果攻击者未经授权访问内部帐户,则将面临以下风险:
- 合规中断:由于数据操纵而错过或延迟提交
- 序列化数据泄露:干扰产品发布和市场准备
- 违反CMO与MAH沟通:泄露文件或合同条款
- 监管风险:审计线索的缺口、无法核实的报告以及法律后果
即使是短暂的违规窗口也可能对系统和供应链产生长期影响。
TeamFiltration 的工作原理
此次攻击活动并不依赖先进的技术漏洞,而是依赖于较差的账户安全性。
攻击者首先采取以下行动:
- 尝试常用或以前泄露的密码(凭证填充)
- 发送模仿合同请求或内部消息的网络钓鱼电子邮件
- 利用未受保护的收件箱搜索文档和共享文件夹
一旦进入,他们就会横向移动,寻找存储的凭证、合作伙伴数据或对 ERP、序列化中心或报告工具等云系统的访问权限。
制药公司现在应该做什么
这不是第一次针对账户访问的攻击活动,也不会是最后一次。但每个制药公司都应该立即采取一些措施来减少曝光:
- 需要多重身份验证 (MFA)
MFA 是抵御基于凭证的攻击最简单、最有效的防御措施之一。所有内部和外部用户都应该强制执行。
- 限制对合规性关键系统的访问
序列号、批次记录和监管文件应仅供授权人员访问。避免共享凭证或设置过多的用户权限。
- 审计第三方访问
审查授予首席营销官、供应商和顾问的访问权限。删除所有未使用的帐户,并确保访问权限有时间限制且受到监控。
- 针对性网络钓鱼的团队培训
质量保证、监管和供应链部门的员工经常收到与审批、发货或文档相关的电子邮件。培训应与他们的日常工作相关。
- 监控 Microsoft 365 活动
使用可用的安全工具检测异常登录、异常文件访问模式或位置不匹配的情况。不要仅仅依赖防病毒软件或电子邮件过滤器。
SoftGroup 如何支持安全合规运营
在 SoftGroup,我们深知合规性和安全性必须齐头并进。正因如此,我们的旗舰序列化和可追溯性解决方案 SATT PLATFORM 的开发始终遵循安全设计原则。
作为基于 Microsoft Azure 的平台,它提供:
- 所有合规性关键操作均内置加密和访问控制
- 基于角色的访问,根据工作职能限制数据可见性
- 实时监控和审计日志,以检测和追踪访问问题
- 确保 MAH、CMO 和国家系统之间的合作伙伴整合
- 集中配置和更新以符合安全最佳实践
无论您是管理序列化数据、准备审计还是协调多个包装站点,我们都会帮助确保您的基础设施支持合规性完整性和网络弹性。
TeamFiltration 是另一个明显的信号:攻击者正专注于人为层面,并利用许多公司忽视的接入点。对于在复杂监管环境中运营的制药公司来说,安全的账户管理至关重要。
现在是时候评估您的系统(尤其是基于云的平台)的保护措施了。因为保护合规性意味着保护支持合规性的系统。
- 攻击者发动 TeamFiltration:账户接管活动 (UNK_SneakyStrike) 利用流行的渗透测试工具 | Proofpoint US
- SoftGroup 在制药合规性和基于云的序列化软件方面的内部专业知识。