Security

Microsoft Teams vishing napadi preko Quick Assist

3 min čitanja

Sažetak

Microsoft upozorava na vishing napade preko Teams-a u kojima se napadači lažno predstavljaju kao IT podrška i navode zaposlene da odobre udaljeni pristup putem Quick Assist-a, bez iskorišćavanja klasične softverske ranjivosti. To je važno jer pokazuje da su identitet, poverenje i legitimni administrativni alati sve češće glavna ulazna tačka, pa bezbednosni timovi moraju jačati obuku korisnika, kontrole udaljenog pristupa i detekciju zloupotrebe standardnih alata.

Audio sažetak

0:00--:--
Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Najnoviji izveštaj iz Microsoft Cyberattack Series predstavlja pravovremeno upozorenje za bezbednosne timove: napadačima nije uvek potrebna nezakrpljena ranjivost da bi stekli pristup. U ovom slučaju, akter pretnje je koristio voice phishing preko Microsoft Teams, lažno se predstavljao kao IT podrška i ubedio zaposlenog da dozvoli udaljeni pristup putem Quick Assist, pretvarajući rutinske tokove saradnje i podrške u ulaznu tačku.

Šta se dogodilo

Prema navodima Microsoft Incident Response (DART), napad je počeo upornim vishing pokušajima preko Microsoft Teams. Nakon dva neuspešna pokušaja, napadač je ubedio trećeg zaposlenog da odobri Quick Assist sesiju.

Kada je veza uspostavljena, akter pretnje je brzo delovao:

  • Usmerio korisnika na zlonamerni veb-sajt pod kontrolom napadača
  • Prikupio korporativne akreditive putem lažiranog obrasca za prijavu
  • Preuzeo više zlonamernih payload-a na uređaj
  • Koristio prikriveni MSI paket za sideloading zlonamernog DLL-a
  • Uspostavio command-and-control koristeći pouzdane Windows mehanizme
  • Proširio pristup pomoću šifrovanih loader-a, izvršavanja udaljenih komandi, prikupljanja akreditiva i otmice sesije

Microsoft je naveo da se napadač u velikoj meri oslanjao na legitimne administrativne alate i tehnike osmišljene da se uklope u uobičajene aktivnosti u preduzeću.

Zašto je ovo važno za IT i bezbednosne timove

Ovaj incident odražava rastući obrazac identity-first napada u kojem je poverenje primarna meta. Platforme za saradnju kao što je Teams mogu biti zloupotrebljene za stvaranje osećaja hitnosti i legitimnosti, posebno kada korisnici veruju da komuniciraju sa internim osobljem podrške.

Za administratore, ključna poruka je da ugrađeni alati kao što je Quick Assist i uobičajeni uslužni programi za udaljeno upravljanje mogu postati visokorizični kada je upravljanje slabo. Tradicionalne odbrane koje su uglavnom fokusirane na malware potpise ili detekciju eksploita mogu propustiti socijalni inženjering u ranoj fazi i hands-on-keyboard aktivnosti.

Microsoft odgovor

DART je potvrdio da je kompromis potekao iz uspešne Teams vishing interakcije i preduzeo mere za obuzdavanje pretnje pre nego što je mogla dalje da se proširi. Microsoft navodi da:

  • Aktivnost je bila kratkotrajna i ograničenog obima
  • Timovi koji su reagovali bili su fokusirani na zaštitu privilegovanih resursa i ograničavanje lateralnog kretanja
  • Forenzička analiza nije pronašla preostale mehanizme postojanosti
  • Širi ciljevi napadača nisu ostvareni

Preporučeni naredni koraci

Organizacije bi trebalo odmah da preispitaju i kontrole saradnje i kontrole udaljenog pristupa:

  • Ograničite dolaznu Teams komunikaciju sa neupravljanih spoljašnjih naloga
  • Razmotrite allowlisting pouzdanih spoljašnjih domena za Teams kontakt
  • Napravite inventar alata za daljinski monitoring i udaljenu podršku koji se koriste
  • Uklonite ili onemogućite Quick Assist tamo gde nije potreban
  • Obučite korisnike da proveravaju zahteve IT podrške kroz odobrene interne kanale
  • Nadgledajte sumnjivu upotrebu legitimnih administrativnih alata i neuobičajene udaljene sesije

Suština

Ovaj izveštaj je jasan podsetnik da moderne intruzije često počinju ubeđivanjem, a ne eksploatacijom. Bezbednosni timovi treba da ojačaju spoljašnji Teams pristup, smanje nepotrebne alate za udaljenu podršku i unaprede procese verifikacije korisnika kako bi napade zasnovane na poverenju učinili težim za izvođenje.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Incident Response
SecurityMicrosoft TeamsQuick Assistvishingincident response

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.