Vishing в Microsoft Teams через Quick Assist: угроза

Введение

Последний отчёт Microsoft в серии Cyberattack Series — это своевременное предупреждение для команд безопасности: злоумышленникам не всегда нужна неисправленная уязвимость, чтобы получить доступ. В этом случае субъект угрозы использовал голосовой фишинг через Microsoft Teams, выдавал себя за IT-поддержку и убедил сотрудника разрешить удалённый доступ через Quick Assist, превратив обычные процессы совместной работы и поддержки в точку входа.

Что произошло

По данным Microsoft Incident Response (DART), атака началась с настойчивого vishing через Microsoft Teams. После двух неудачных попыток злоумышленник убедил третьего сотрудника одобрить сеанс Quick Assist.

После подключения субъект угрозы действовал быстро:

• Направил пользователя на вредоносный сайт, контролируемый злоумышленником
• Перехватил корпоративные учётные данные через поддельную форму входа
• Загрузил на устройство несколько вредоносных payload
• Использовал замаскированный пакет MSI для sideload вредоносной DLL
• Установил command-and-control с использованием доверенных механизмов Windows
• Расширил доступ с помощью зашифрованных loader, удалённого выполнения команд, сбора учётных данных и hijacking сеансов

Microsoft отметила, что злоумышленник в значительной степени полагался на легитимные административные инструменты и техники, рассчитанные на то, чтобы сливаться с обычной активностью в корпоративной среде.

Почему это важно для IT- и security-команд

Этот инцидент отражает растущий шаблон identity-first атак, в котором основная цель — доверие. Платформы для совместной работы, такие как Teams, могут использоваться во зло для создания ощущения срочности и легитимности, особенно когда пользователи считают, что взаимодействуют с внутренними сотрудниками поддержки.

Для администраторов ключевой вывод в том, что встроенные инструменты, такие как Quick Assist, и распространённые утилиты удалённого управления могут становиться высокорисковыми при слабом управлении. Традиционные средства защиты, ориентированные главным образом на сигнатуры вредоносного ПО или обнаружение эксплойтов, могут не заметить социальную инженерию на ранней стадии и hands-on-keyboard активность.

Ответ Microsoft

DART подтвердила, что компрометация началась с успешного взаимодействия в рамках Teams vishing, и приняла меры по сдерживанию угрозы до того, как она смогла распространиться дальше. Microsoft сообщает, что:

• Активность была кратковременной и ограниченной по масштабу
• Специалисты по реагированию сосредоточились на защите привилегированных активов и ограничении lateral movement
• Судебно-технический анализ не выявил оставшихся механизмов закрепления
• Более широкие цели злоумышленника не были достигнуты

Рекомендуемые следующие шаги

Организациям следует немедленно пересмотреть средства контроля как для совместной работы, так и для удалённого доступа:

• Ограничить входящие коммуникации в Teams из неуправляемых внешних учётных записей
• Рассмотреть allowlisting доверенных внешних доменов для контактов в Teams
• Провести инвентаризацию используемых инструментов удалённого мониторинга и удалённой поддержки
• Удалить или отключить Quick Assist там, где он не требуется
• Обучить пользователей проверять запросы от IT-поддержки через утверждённые внутренние каналы
• Отслеживать подозрительное использование легитимных административных инструментов и необычные удалённые сеансы

Итог

Этот отчёт — наглядное напоминание о том, что современные вторжения часто начинаются с убеждения, а не с эксплуатации уязвимостей. Командам безопасности следует усилить защиту внешнего доступа в Teams, сократить использование ненужных инструментов удалённой поддержки и укрепить процессы проверки пользователей, чтобы затруднить реализацию атак, основанных на доверии.