Security

Атака через impersonation в Teams между tenants

3 мин. чтения

Кратко

Microsoft подробно описала цепочку атак с участием оператора, в которой злоумышленники используют межтенантные чаты Microsoft Teams, чтобы выдавать себя за сотрудников helpdesk и убеждать пользователей предоставить удалённый доступ через такие инструменты, как Quick Assist. Кампания важна тем, что сочетает легитимные средства совместной работы, удалённой поддержки и администрирования для бокового перемещения, закрепления и эксфильтрации данных, при этом маскируясь под обычную IT-активность.

Нужна помощь с Security?Поговорить с экспертом

Введение

Microsoft опубликовала новое исследование угроз, в котором описывается, как злоумышленники злоупотребляют внешними чатами Microsoft Teams, выдавая себя за IT-специалистов или сотрудников helpdesk. Для IT- и security-команд это важное напоминание: современный phishing и social engineering больше не начинаются только с email — они могут стартовать внутри доверенных инструментов совместной работы и быстро привести к компрометации всей корпоративной среды.

Что нового

В отчёте Microsoft описан полный сценарий intrusion-атаки с участием оператора, который начинается с межтенантных сообщений Teams и заканчивается эксфильтрацией данных.

Цепочка атаки, выделенная Microsoft

  • Первичный контакт через Teams: злоумышленники выдают себя за сотрудников поддержки, используя внешнюю коммуникацию Teams.
  • Точка входа через удалённую помощь: жертв убеждают запустить Quick Assist или аналогичные инструменты удалённой поддержки и одобрить доступ.
  • Разведка и проверка: злоумышленники быстро проверяют привилегии пользователя, сведения о системе и уровень доступа.
  • Злоупотребление доверенными приложениями: приложения, подписанные вендором, запускаются с модулями, предоставленными злоумышленником, для выполнения вредоносного кода.
  • Command and control: злоумышленники устанавливают постоянный доступ, маскируя активность под обычные административные действия.
  • Боковое перемещение: встроенные инструменты, такие как WinRM, используются для продвижения к ценным активам, включая контроллеры домена.
  • Дополнительные инструменты: может разворачиваться коммерческое ПО для удалённого управления, например Level RMM.
  • Эксфильтрация данных: такие утилиты, как Rclone, используются для подготовки и переноса конфиденциальных данных во внешние облачные хранилища.

Почему это важно для администраторов

Эта кампания примечательна тем, что в ней активно используются легитимные инструменты Microsoft и сторонних поставщиков, а не очевидное вредоносное ПО. Это усложняет обнаружение и повышает вероятность того, что активность будет выглядеть как стандартная IT-поддержка, удалённое администрирование или действия, одобренные пользователем.

Главный риск связан не только с самой внешней перепиской в Teams, но и с моментом, когда пользователь одобряет удалённое управление. После этого злоумышленники могут действовать очень быстро — зачастую в течение нескольких минут — чтобы получить более широкий доступ, развернуть инструменты и нацелиться на инфраструктуру идентификации или домена.

Рекомендуемые действия

Администраторам следует пересмотреть меры контроля в области совместной работы, endpoint- и identity-безопасности:

  • Усильте защиту внешнего доступа Teams и пересмотрите политики межтенантного взаимодействия.
  • Обучите пользователей с подозрением относиться к непрошенным обращениям от helpdesk или security-службы в Teams, особенно при первом контакте.
  • Ограничьте или отслеживайте Quick Assist и другие инструменты удалённой поддержки, где это возможно.
  • Отслеживайте подозрительные цепочки процессов, например QuickAssist.exe с последующим запуском cmd.exe или PowerShell.
  • Контролируйте активность бокового перемещения с использованием WinRM и неожиданного ПО для удалённого управления.
  • Проверяйте сигналы эксфильтрации данных, связанные с такими инструментами, как Rclone, или с необычными направлениями облачного хранения.
  • Используйте Microsoft Defender XDR для корреляции телеметрии identity, endpoint и Teams с целью более раннего обнаружения.

Итог

Исследование Microsoft показывает, что платформы совместной работы теперь стали частью активного ландшафта intrusion-атак. Командам безопасности следует рассматривать impersonation через Teams и одобренную пользователем удалённую помощь как высокорисковые векторы и соответствующим образом обновить мониторинг, обучение пользователей и сценарии реагирования.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Microsoft TeamsQuick AssistMicrosoft Defender XDRdata exfiltrationphishing

Похожие статьи

Security

Predictive shielding в Microsoft Defender против AD-атак

Microsoft рассказала, как predictive shielding в Defender помогает сдерживать компрометацию домена Active Directory, ограничивая доступ скомпрометированных высокопривилегированных учетных записей до того, как злоумышленники смогут повторно использовать украденные учетные данные. Эта возможность помогает командам безопасности сократить латеральное перемещение и уменьшить окно реагирования при быстро развивающихся атаках на идентификацию.

Security

Взлом macOS Sapphire Sleet: выводы Defender

Microsoft Threat Intelligence подробно описала кампанию Sapphire Sleet, нацеленную на macOS и использующую социальную инженерию и поддельные обновления ПО вместо эксплуатации уязвимостей. Цепочка атаки основана на инициированном пользователем запуске AppleScript и Terminal для обхода встроенных средств защиты macOS, что делает особенно важными многоуровневую защиту, осведомлённость пользователей и обнаружение угроз на конечных точках.

Security

Стратегия криптографической инвентаризации для квантовой готовности

Microsoft призывает организации рассматривать криптографическую инвентаризацию как первый практический шаг к постквантовой готовности. Компания описывает непрерывный жизненный цикл Cryptography Posture Management, который помогает командам безопасности выявлять, оценивать, приоритизировать и устранять криптографические риски в коде, сети, среде выполнения и хранилищах.

Security

Реагирование на AI-инциденты: что менять командам

Microsoft заявляет, что традиционные принципы incident response по-прежнему применимы к AI-системам, но командам нужно адаптироваться к недетерминированному поведению, более быстрому масштабному ущербу и новым категориям рисков. Компания подчеркивает необходимость более качественной AI-телеметрии, кросс-функциональных планов реагирования и поэтапного устранения проблем, чтобы быстро сдерживать инциденты, пока разрабатываются долгосрочные исправления.

Security

Agentic SOC от Microsoft: видение будущего SecOps

Microsoft описывает модель «agentic SOC», которая сочетает автономное предотвращение угроз и AI agents для ускорения расследований и снижения усталости от оповещений. Этот подход должен перевести операции безопасности от реактивного реагирования на инциденты к более быстрой и адаптивной защите, давая командам SOC больше времени на стратегическое снижение рисков и управление.

Security

Атаки Storm-2755 на payroll в Канаде

Microsoft раскрыла детали финансово мотивированной кампании Storm-2755, нацеленной на сотрудников в Канаде с атаками на перенаправление зарплатных выплат. Злоумышленник использовал SEO poisoning, malvertising и adversary-in-the-middle методы, чтобы красть сессии, обходить устаревшие MFA и изменять реквизиты direct deposit, что делает phishing-resistant MFA и мониторинг сессий критически важной защитой.