Microsoft Teams vishing usa Quick Assist negli attacchi

Introduzione

L’ultimo report della Cyberattack Series di Microsoft è un avvertimento tempestivo per i team di sicurezza: gli attaccanti non hanno sempre bisogno di una vulnerabilità non corretta per ottenere accesso. In questo caso, un threat actor ha usato voice phishing su Microsoft Teams, si è spacciato per il supporto IT e ha convinto un dipendente a consentire l’accesso remoto tramite Quick Assist, trasformando normali flussi di collaborazione e supporto in un punto di ingresso.

Cosa è successo

Secondo Microsoft Incident Response (DART), l’attacco è iniziato con un vishing persistente su Microsoft Teams. Dopo due tentativi senza successo, l’attaccante ha persuaso un terzo dipendente ad approvare una sessione Quick Assist.

Una volta connesso, il threat actor si è mosso rapidamente:

• Ha indirizzato l’utente verso un sito web malevolo controllato dall’attaccante
• Ha acquisito credenziali aziendali tramite un modulo di accesso contraffatto
• Ha scaricato diversi payload malevoli sul dispositivo
• Ha usato un pacchetto MSI camuffato per eseguire il sideload di una DLL malevola
• Ha stabilito command-and-control usando meccanismi Windows affidabili
• Ha ampliato l’accesso con loader cifrati, esecuzione remota di comandi, raccolta di credenziali e session hijacking

Microsoft ha osservato che l’attaccante si è affidato in modo significativo a strumenti amministrativi legittimi e a tecniche progettate per confondersi con la normale attività aziendale.

Perché è importante per i team IT e di sicurezza

Questo incidente riflette un modello di attacco identity-first in crescita, in cui la fiducia è il bersaglio principale. Le piattaforme di collaborazione come Teams possono essere abusate per creare urgenza e legittimità, soprattutto quando gli utenti credono di interagire con personale interno di supporto.

Per gli amministratori, il messaggio chiave è che strumenti integrati come Quick Assist e comuni utility di gestione remota possono diventare ad alto rischio quando la governance è debole. Le difese tradizionali focalizzate principalmente su firme malware o rilevamento di exploit potrebbero non individuare le prime fasi di social engineering e l’attività hands-on-keyboard.

La risposta di Microsoft

DART ha confermato che la compromissione ha avuto origine da una riuscita interazione di vishing su Teams e ha agito per contenere la minaccia prima che potesse espandersi ulteriormente. Microsoft riferisce che:

• L’attività è stata di breve durata e limitata nell’ambito
• I responder si sono concentrati sulla protezione degli asset privilegiati e sulla limitazione del lateral movement
• L’analisi forense non ha rilevato meccanismi di persistenza residui
• Gli obiettivi più ampi dell’attaccante non sono stati raggiunti

Prossimi passaggi consigliati

Le organizzazioni dovrebbero rivedere immediatamente i controlli sia di collaborazione sia di accesso remoto:

• Limitare le comunicazioni Teams in ingresso da account esterni non gestiti
• Valutare l’allowlisting di domini esterni attendibili per i contatti Teams
• Inventariare gli strumenti di monitoraggio remoto e supporto remoto in uso
• Rimuovere o disabilitare Quick Assist dove non è necessario
• Formare gli utenti a verificare le richieste del supporto IT tramite canali interni approvati
• Monitorare l’uso sospetto di strumenti amministrativi legittimi e sessioni remote insolite

Conclusione

Questo report ricorda chiaramente che le intrusioni moderne spesso iniziano con la persuasione, non con lo sfruttamento di vulnerabilità. I team di sicurezza dovrebbero rafforzare l’accesso esterno a Teams, ridurre gli strumenti di supporto remoto non necessari e potenziare i processi di verifica degli utenti per rendere più difficili da eseguire gli attacchi basati sulla fiducia.