Microsoft выявила кампанию атак через голосовой фишинг в Teams с компрометацией учетных записей
Microsoft обнаружила кампанию атак, в которой злоумышленники через голосовой фишинг в Microsoft Teams выдают себя за ИТ-поддержку, получают доступ к устройствам сотрудников и разворачивают вредоносную активность с использованием легитимных инструментов.
Microsoft выявила кампанию атак, построенную на голосовом фишинге (vishing) в Microsoft Teams: злоумышленники выдавали себя за сотрудников ИТ-поддержки и последовательно пытались получить доступ к корпоративной инфраструктуре, нацеливаясь на разных сотрудников.
По данным на 2023 год, Microsoft Teams терял позиции на российском рынке, но продолжал использоваться. Как писал РБК, 8% российских компаний использовали это ПО для видео-конференц-связи. При этом в госсекторе импортозамещение, как утверждал директор по развитию «Труконф» Дмитрий Одинцов, составляло 95%.
Атака развивалась как серия попыток. Злоумышленник обращался к сотрудникам под предлогом технической помощи и после нескольких неудачных попыток добился успеха — один из пользователей предоставил удаленный доступ через Quick Assist, что стало точкой первоначальной компрометации.
Получив интерактивный доступ к устройству, атакующий переходил от социальной инженерии к прямому управлению системой. В одном из зафиксированных эпизодов пользователя направили на подконтрольный вредоносный сайт, где он ввел корпоративные учетные данные в поддельную форму, после чего началась загрузка вредоносных компонентов.
Дальнейшее развитие атаки строилось на использовании легитимных механизмов системы. Один из первых этапов включал запуск замаскированного установочного пакета Microsoft Installer, который подгружал вредоносную библиотеку и устанавливал канал управления. Это позволяло выполнять команды от имени легитимного ПО и не вызывать подозрений.
Закрепившись в системе, злоумышленник расширял присутствие с помощью дополнительных компонентов: использовал зашифрованные загрузчики, стандартные административные инструменты для удаленного выполнения команд и прокси-соединения для сокрытия активности. Со временем это давало возможность перехватывать учетные данные и сессии, обеспечивая устойчивый интерактивный контроль внутри инфраструктуры
Инцидент отражает более широкую тенденцию: атаки все чаще строятся не на эксплуатации уязвимостей, а на злоупотреблении доверием пользователей, корпоративными коммуникационными платформами и встроенными инструментами администрирования.
Параллельно фиксируются и другие кампании, нацеленные на пользователей Microsoft Teams, где для кражи учетных данных используются скомпрометированные легитимные сайты. Злоумышленники размещают фишинговые страницы внутри инфраструктуры реальных WordPress-ресурсов, что позволяет обходить фильтрацию и повышает доверие к ссылкам.
Такие атаки строятся по многоэтапной схеме: пользователь получает сообщение, например о пропущенном звонке или документе, переходит по ссылке через промежуточные домены и попадает на поддельную страницу входа. Введенные данные сразу используются для захвата учетных записей и дальнейшего проникновения в корпоративную сеть
Ключевым фактором успеха остается человеческий фактор: сотрудники склонны доверять обращениям, которые выглядят как внутренние запросы ИТ-службы. Этим и пользуются злоумышленники, создавая ощущение срочности и легитимности.
Для снижения рисков рекомендуется ограничивать внешние коммуникации в Teams, использовать списки доверенных доменов, контролировать применение инструментов удаленного доступа и по возможности отключать их, а также внедрять многофакторную аутентификацию и отслеживать подозрительные переходы и редиректы
По итогам расследования активность атакующих удалось оперативно локализовать, а сама атака не привела к закреплению в инфраструктуре. Однако сценарий показывает, что современные атаки все чаще маскируются под повседневные рабочие процессы и используют легитимные инструменты вместо эксплуатации уязвимостей.
Читайте также
