Security

{{Cross-tenant Teams-imitatieaanval playbook}}

3 min leestijd

Samenvatting

{{Microsoft heeft een menselijke intrusieketen beschreven waarbij aanvallers cross-tenant Microsoft Teams-chats gebruiken om zich voor te doen als helpdeskmedewerkers en gebruikers te misleiden om externe toegang te verlenen via tools zoals Quick Assist. Deze campagne is belangrijk omdat legitieme samenwerking, externe ondersteuning en beheertools worden gecombineerd om laterale verplaatsing, persistentie en data-exfiltratie mogelijk te maken, terwijl het lijkt op normale IT-activiteit.}}

Hulp nodig met Security?Praat met een expert

{{## Introductie Microsoft heeft nieuw dreigingsonderzoek gepubliceerd waarin wordt beschreven hoe aanvallers externe Microsoft Teams-chats misbruiken om zich voor te doen als IT- of helpdeskmedewerkers. Voor IT- en securityteams is dit een belangrijke herinnering dat moderne phishing en social engineering niet langer alleen met e-mail beginnen — ze kunnen starten binnen vertrouwde samenwerkingstools en snel escaleren naar een organisatiebrede compromittering.

Wat is er nieuw

Het rapport van Microsoft schetst een volledig human-operated intrusion playbook dat begint met cross-tenant Teams-berichten en eindigt met data-exfiltratie.

Aanvalsketen uitgelicht door Microsoft

  • Eerste contact via Teams: Aanvallers doen zich voor als supportmedewerkers via externe Teams-communicatie.
  • Voet aan de grond via externe ondersteuning: Slachtoffers worden overtuigd om Quick Assist of vergelijkbare tools voor externe ondersteuning te starten en toegang goed te keuren.
  • Verkenning en validatie: Aanvallers controleren snel gebruikersrechten, systeemdetails en het toegangsniveau.
  • Misbruik van vertrouwde apps: Door leveranciers ondertekende applicaties worden gestart met door aanvallers aangeleverde modules om kwaadaardige code uit te voeren.
  • Command and control: Aanvallers zetten persistente toegang op terwijl ze opgaan in normale beheeractiviteit.
  • Laterale verplaatsing: Native tools zoals WinRM worden gebruikt om door te bewegen naar waardevolle assets, waaronder domain controllers.
  • Vervolgtooling: Commerciële software voor extern beheer zoals Level RMM kan worden uitgerold.
  • Data-exfiltratie: Utilities zoals Rclone worden gebruikt om gevoelige data gereed te maken en te verplaatsen naar externe cloudopslag.

Waarom dit belangrijk is voor beheerders

Deze campagne valt op omdat ze sterk leunt op legitieme Microsoft- en third-party tools in plaats van op overduidelijke malware. Dat maakt detectie moeilijker en vergroot de kans dat de activiteit eruitziet als routinematige IT-support, extern beheer of door gebruikers goedgekeurde handelingen.

Het grootste risico is niet alleen externe Teams-berichten op zich, maar het moment waarop een gebruiker externe besturing goedkeurt. Zodra dat gebeurt, kunnen aanvallers snel handelen — vaak binnen enkele minuten — om bredere toegang te verkrijgen, tools uit te rollen en identiteits- of domeininfrastructuur aan te vallen.

Aanbevolen acties

Beheerders moeten controles evalueren op het gebied van samenwerking, endpoints en identiteitsbeveiliging:

  • Versterk externe Teams-toegang en beoordeel cross-tenant communicatiebeleid.
  • Train gebruikers om ongevraagde helpdesk- of securitycontacten in Teams met argwaan te benaderen, vooral bij eerste contact.
  • Beperk of monitor Quick Assist en andere tools voor externe ondersteuning waar mogelijk.
  • Let op verdachte procesketens zoals QuickAssist.exe gevolgd door cmd.exe of PowerShell.
  • Monitor activiteit voor laterale verplaatsing waarbij WinRM en onverwachte software voor extern beheer betrokken zijn.
  • Beoordeel signalen van data-exfiltratie die verband houden met tools zoals Rclone of ongebruikelijke cloudopslagbestemmingen.
  • Gebruik Microsoft Defender XDR om identiteits-, endpoint- en Teams-telemetrie te correleren voor eerdere detectie.

Conclusie

Het onderzoek van Microsoft laat zien dat samenwerkingsplatforms nu deel uitmaken van het actieve intrusielandschap. Securityteams moeten Teams-gebaseerde imitatie en door gebruikers goedgekeurde externe ondersteuning behandelen als risicovolle aanvalspaden en hun monitoring, gebruikersbewustzijn en response playbooks dienovereenkomstig bijwerken.}}

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
Microsoft TeamsQuick AssistMicrosoft Defender XDRdata exfiltrationphishing

Gerelateerde artikelen

Security

Microsoft Defender predictive shielding stopt AD-aanvallen

Microsoft beschreef hoe predictive shielding in Defender een Active Directory-domeincompromis kan indammen door blootgestelde accounts met hoge bevoegdheden te beperken voordat aanvallers gestolen referenties opnieuw gebruiken. Deze mogelijkheid helpt beveiligingsteams laterale beweging te verminderen en het responsgat te dichten tijdens snel verlopende identiteitsaanvallen.

Security

Sapphire Sleet macOS-inbraak: Defender-inzichten

Microsoft Threat Intelligence beschreef een op macOS gerichte campagne van Sapphire Sleet die social engineering en valse software-updates gebruikt in plaats van kwetsbaarheden uit te buiten. De aanvalsketen steunt op door gebruikers gestarte AppleScript- en Terminal-uitvoering om ingebouwde macOS-bescherming te omzeilen, waardoor gelaagde verdediging, gebruikersbewustzijn en endpointdetectie extra belangrijk zijn.

Security

{{Cryptografische inventarisstrategie voor quantumgereedheid}}

{{Microsoft spoort organisaties aan om cryptografische inventarisatie te behandelen als de eerste praktische stap naar post-quantum-gereedheid. Het bedrijf schetst een continue lifecycle voor Cryptography Posture Management om securityteams te helpen cryptografische risico’s in code, netwerken, runtime en opslag te ontdekken, beoordelen, prioriteren en verhelpen.}}

Security

AI-incidentrespons: wat securityteams moeten wijzigen

Microsoft stelt dat traditionele principes voor incident response nog steeds gelden voor AI-systemen, maar dat teams zich moeten aanpassen aan niet-deterministisch gedrag, snellere schade op schaal en nieuwe risicocategorieën. Het bedrijf benadrukt de noodzaak van betere AI-telemetrie, cross-functionele responsplannen en gefaseerde remediatie om problemen snel te beperken terwijl langetermijnoplossingen worden ontwikkeld.

Security

Agentic SOC van Microsoft: visie op toekomstige SecOps

Microsoft schetst een model voor een "agentic SOC" dat autonome dreigingsverstoring combineert met AI agents om onderzoeken te versnellen en alertmoeheid te verminderen. De aanpak moet security operations verschuiven van reactieve incidentrespons naar snellere, adaptievere verdediging, zodat SOC-teams meer tijd krijgen voor strategische risicoreductie en governance.

Security

Storm-2755 payroll-aanvallen treffen Canada

Microsoft heeft details gedeeld over een financieel gemotiveerde Storm-2755-campagne die Canadese medewerkers treft met aanvallen op salarisomleiding. De actor gebruikte SEO poisoning, malvertising en adversary-in-the-middle-technieken om sessies te stelen, legacy MFA te omzeilen en gegevens voor directe stortingen te wijzigen, waardoor phishing-resistente MFA en sessiemonitoring cruciale verdedigingsmaatregelen zijn.