Ataki vishingowe w Teams z Quick Assist: ostrzeżenie Microsoft

Wprowadzenie

Najnowszy raport z serii Cyberattack Series od Microsoft to ważne ostrzeżenie dla zespołów bezpieczeństwa: atakujący nie zawsze potrzebują niezałatanej podatności, aby uzyskać dostęp. W tym przypadku podmiot zagrożenia wykorzystał voice phishing w Microsoft Teams, podszył się pod wsparcie IT i przekonał pracownika do zezwolenia na zdalny dostęp przez Quick Assist — zamieniając rutynowe procesy współpracy i wsparcia w punkt wejścia.

Co się wydarzyło

Według Microsoft Incident Response (DART) atak rozpoczął się od uporczywego vishingu przez Microsoft Teams. Po dwóch nieudanych próbach atakujący przekonał trzeciego pracownika do zaakceptowania sesji Quick Assist.

Po nawiązaniu połączenia podmiot zagrożenia szybko przeszedł do działania:

• Skierował użytkownika na złośliwą witrynę kontrolowaną przez atakującego
• Przechwycił firmowe poświadczenia za pomocą sfałszowanego formularza logowania
• Pobrał na urządzenie wiele złośliwych ładunków
• Użył zamaskowanego pakietu MSI do sideloadingu złośliwej biblioteki DLL
• Ustanowił command-and-control przy użyciu zaufanych mechanizmów Windows
• Rozszerzył dostęp za pomocą zaszyfrowanych loaderów, zdalnego wykonywania poleceń, pozyskiwania poświadczeń i przejmowania sesji

Microsoft zauważył, że atakujący w dużym stopniu polegał na legalnych narzędziach administracyjnych oraz technikach zaprojektowanych tak, aby wtapiały się w normalną aktywność przedsiębiorstwa.

Dlaczego to ma znaczenie dla zespołów IT i bezpieczeństwa

Ten incydent odzwierciedla rosnący wzorzec ataków identity-first, w którym głównym celem jest zaufanie. Platformy współpracy, takie jak Teams, mogą być nadużywane do tworzenia poczucia pilności i wiarygodności, zwłaszcza gdy użytkownicy wierzą, że komunikują się z wewnętrznym personelem wsparcia.

Dla administratorów kluczowy wniosek jest taki, że wbudowane narzędzia, takie jak Quick Assist, oraz popularne narzędzia do zdalnego zarządzania mogą stać się obszarem wysokiego ryzyka, gdy nadzór jest słaby. Tradycyjne mechanizmy obronne skoncentrowane głównie na sygnaturach malware lub wykrywaniu exploitów mogą nie wychwycić wczesnych etapów socjotechniki i aktywności hands-on-keyboard.

Odpowiedź Microsoft

DART potwierdził, że źródłem naruszenia była skuteczna interakcja vishingowa w Teams, i podjął działania mające na celu powstrzymanie zagrożenia, zanim mogło się dalej rozprzestrzenić. Microsoft informuje, że:

• Aktywność była krótkotrwała i ograniczona pod względem zakresu
• Zespół reagowania skupił się na ochronie uprzywilejowanych zasobów i ograniczeniu ruchu lateralnego
• Analiza kryminalistyczna nie wykazała pozostawionych mechanizmów trwałości
• Szersze cele atakującego nie zostały osiągnięte

Zalecane kolejne kroki

Organizacje powinny niezwłocznie przejrzeć mechanizmy kontroli współpracy i zdalnego dostępu:

• Ograniczyć przychodzącą komunikację Teams z niezarządzanych kont zewnętrznych
• Rozważyć allowlisting zaufanych domen zewnętrznych dla kontaktów Teams
• Sporządzić inwentaryzację używanych narzędzi do zdalnego monitorowania i zdalnego wsparcia
• Usunąć lub wyłączyć Quick Assist tam, gdzie nie jest wymagany
• Szkolić użytkowników, aby weryfikowali prośby od wsparcia IT przez zatwierdzone kanały wewnętrzne
• Monitorować podejrzane użycie legalnych narzędzi administracyjnych i nietypowe sesje zdalne

Najważniejsze

Ten raport wyraźnie przypomina, że współczesne włamania często zaczynają się od perswazji, a nie od wykorzystania podatności. Zespoły bezpieczeństwa powinny wzmocnić ochronę zewnętrznego dostępu w Teams, ograniczyć zbędne narzędzia zdalnego wsparcia i usprawnić procesy weryfikacji użytkowników, aby utrudnić przeprowadzanie ataków opartych na zaufaniu.