Security

Atak podszywania w Teams między tenantami

3 min czytania

Podsumowanie

Microsoft opisał łańcuch włamania prowadzony ręcznie przez operatorów, w którym atakujący wykorzystują czaty Microsoft Teams między tenantami, aby podszywać się pod pracowników helpdesku i nakłaniać użytkowników do przyznania zdalnego dostępu za pomocą narzędzi takich jak Quick Assist. Kampania jest istotna, ponieważ łączy legalną współpracę, zdalne wsparcie i narzędzia administracyjne, umożliwiając ruch boczny, utrzymanie dostępu i eksfiltrację danych przy pozorach normalnej aktywności IT.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie

Microsoft opublikował nowe badania dotyczące zagrożeń, opisujące, jak atakujący nadużywają zewnętrznych czatów Microsoft Teams, aby podszywać się pod pracowników IT lub helpdesku. Dla zespołów IT i bezpieczeństwa to ważne przypomnienie, że nowoczesny phishing i socjotechnika nie zaczynają się już wyłącznie od emaila — mogą rozpocząć się wewnątrz zaufanych narzędzi do współpracy i szybko doprowadzić do kompromitacji całego środowiska.

Co nowego

Raport Microsoft przedstawia pełny playbook włamania obsługiwanego przez człowieka, który zaczyna się od wiadomości Teams między tenantami i kończy eksfiltracją danych.

Łańcuch ataku wskazany przez Microsoft

  • Początkowy kontakt przez Teams: Atakujący podszywają się pod personel wsparcia, korzystając z zewnętrznej komunikacji Teams.
  • Uzyskanie przyczółka przez zdalną pomoc: Ofiary są nakłaniane do uruchomienia Quick Assist lub podobnych narzędzi zdalnego wsparcia i zatwierdzenia dostępu.
  • Rozpoznanie i weryfikacja: Atakujący szybko sprawdzają uprawnienia użytkownika, szczegóły systemu i poziom dostępu.
  • Nadużycie zaufanych aplikacji: Aplikacje podpisane przez dostawcę są uruchamiane z modułami dostarczonymi przez atakującego w celu wykonania złośliwego kodu.
  • Command and control: Atakujący ustanawiają trwały dostęp, jednocześnie wtapiając się w normalną aktywność administracyjną.
  • Ruch boczny: Do przechodzenia do zasobów o wysokiej wartości, w tym kontrolerów domeny, wykorzystywane są natywne narzędzia, takie jak WinRM.
  • Dodatkowe narzędzia: Mogą zostać wdrożone komercyjne narzędzia do zdalnego zarządzania, takie jak Level RMM.
  • Eksfiltracja danych: Narzędzia takie jak Rclone są używane do przygotowania i przenoszenia wrażliwych danych do zewnętrznej pamięci w chmurze.

Dlaczego to ma znaczenie dla administratorów

Ta kampania jest szczególnie istotna, ponieważ w dużym stopniu opiera się na legalnych narzędziach Microsoft i firm trzecich, a nie na oczywistym malware. To utrudnia wykrywanie i zwiększa prawdopodobieństwo, że aktywność będzie wyglądać jak rutynowe wsparcie IT, zdalna administracja lub działania zatwierdzone przez użytkownika.

Największe ryzyko nie wynika wyłącznie z samej zewnętrznej komunikacji Teams, ale z momentu, w którym użytkownik zatwierdza zdalną kontrolę. Gdy do tego dojdzie, atakujący mogą działać bardzo szybko — często w ciągu kilku minut — aby uzyskać szerszy dostęp, wdrożyć narzędzia i zaatakować infrastrukturę tożsamości lub domeny.

Zalecane działania

Administratorzy powinni przejrzeć zabezpieczenia w obszarach współpracy, endpointów i tożsamości:

  • Wzmocnij zewnętrzny dostęp do Teams i przejrzyj zasady komunikacji między tenantami.
  • Przeszkol użytkowników, aby z podejrzliwością traktowali nieoczekiwane kontakty od helpdesku lub zespołu bezpieczeństwa w Teams, szczególnie przy pierwszej wiadomości.
  • Ogranicz lub monitoruj Quick Assist oraz inne narzędzia zdalnego wsparcia tam, gdzie to możliwe.
  • Obserwuj podejrzane łańcuchy procesów, takie jak QuickAssist.exe uruchamiający cmd.exe lub PowerShell.
  • Monitoruj aktywność ruchu bocznego z udziałem WinRM i nieoczekiwanego oprogramowania do zdalnego zarządzania.
  • Przeglądaj sygnały eksfiltracji danych powiązane z narzędziami takimi jak Rclone lub nietypowymi lokalizacjami pamięci w chmurze.
  • Używaj Microsoft Defender XDR, aby korelować telemetrię tożsamości, endpointów i Teams na potrzeby wcześniejszego wykrywania.

Najważniejszy wniosek

Badania Microsoft pokazują, że platformy do współpracy są dziś aktywną częścią krajobrazu włamań. Zespoły bezpieczeństwa powinny traktować podszywanie się w Teams i zatwierdzaną przez użytkownika zdalną pomoc jako ścieżki wysokiego ryzyka oraz odpowiednio zaktualizować monitoring, świadomość użytkowników i playbooki reagowania.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
Microsoft TeamsQuick AssistMicrosoft Defender XDRdata exfiltrationphishing

Powiązane artykuły

Security

Microsoft Defender Predictive Shielding blokuje ataki AD

Microsoft opisał, jak predictive shielding w Defender może ograniczyć przejęcie domeny Active Directory poprzez blokowanie ujawnionych kont o wysokich uprawnieniach, zanim atakujący ponownie wykorzystają skradzione poświadczenia. Funkcja pomaga zespołom bezpieczeństwa ograniczyć ruch boczny i skrócić lukę reakcji podczas szybko rozwijających się ataków na tożsamość.

Security

Sapphire Sleet na macOS: kluczowe ustalenia Defender

Microsoft Threat Intelligence opisał kampanię Sapphire Sleet wymierzoną w macOS, która wykorzystuje socjotechnikę i fałszywe aktualizacje oprogramowania zamiast luk w zabezpieczeniach. Łańcuch ataku opiera się na uruchamianiu AppleScript i Terminal przez użytkownika, aby ominąć natywne mechanizmy ochrony macOS, co szczególnie podkreśla znaczenie wielowarstwowej ochrony, świadomości użytkowników i wykrywania na punktach końcowych.

Security

Strategia inwentaryzacji kryptografii dla gotowości na kwanty

Microsoft zachęca organizacje, by traktowały inwentaryzację kryptografii jako pierwszy praktyczny krok w kierunku gotowości na erę post-quantum. Firma przedstawia ciągły cykl zarządzania stanem kryptografii, który pomaga zespołom bezpieczeństwa wykrywać, oceniać, priorytetyzować i usuwać ryzyka kryptograficzne w kodzie, sieci, środowisku uruchomieniowym i pamięci masowej.

Security

Reagowanie na incydenty AI: co muszą zmienić zespoły

Microsoft twierdzi, że tradycyjne zasady reagowania na incydenty nadal mają zastosowanie w systemach AI, ale zespoły muszą dostosować się do niedeterministycznego działania, szybszego rozprzestrzeniania szkód na dużą skalę oraz nowych kategorii ryzyka. Firma podkreśla potrzebę lepszej telemetrii AI, międzydziałowych planów reagowania i etapowego usuwania skutków, aby szybko ograniczać problemy, równolegle opracowując długoterminowe poprawki.

Security

Agentic SOC Microsoft: wizja przyszłości SecOps

Microsoft przedstawia model „agentic SOC”, który łączy autonomiczne zakłócanie zagrożeń z agentami AI, aby przyspieszać dochodzenia i ograniczać zmęczenie alertami. To podejście ma przesunąć operacje bezpieczeństwa z reaktywnej obsługi incydentów w stronę szybszej, bardziej adaptacyjnej obrony, dając zespołom SOC więcej czasu na strategiczne ograniczanie ryzyka i nadzór.

Security

Ataki płacowe Storm-2755 na pracowników w Kanadzie

Microsoft opisał motywowaną finansowo kampanię Storm-2755 wymierzoną w pracowników w Kanadzie z użyciem ataków przekierowujących wypłaty. Aktor zagrożeń wykorzystał SEO poisoning, malvertising oraz techniki adversary-in-the-middle do kradzieży sesji, obejścia starszych metod MFA i zmiany danych direct deposit, co sprawia, że MFA odporne na phishing i monitorowanie sesji są kluczowymi zabezpieczeniami.