Атаки через Microsoft Teams и Rclone угрожают компаниям

Недавний анализ тактики киберугроз описывает сложную методологию вторжения, в которой злоумышленники используют Microsoft Teams для выдачи себя за ИТ-специалистов или сотрудников службы технической поддержки. Схема строится на социальной инженерии, удаленном доступе и применении legitimate applications, позволяющих атакующим долго оставаться незамеченными внутри корпоративной среды.

Как начинается атака

Первый этап атаки основан на доверии пользователей к внутренним коммуникационным каналам. Злоумышленники вступают в контакт через Microsoft Teams, представляясь сотрудниками службы поддержки, и убеждают жертву предоставить доступ к удаленному рабочему столу с помощью таких инструментов, как Quick Assist.

Этот прием снижает настороженность пользователей: имитируя привычный рабочий сценарий, атакующие добиваются первоначального доступа без использования сложных эксплойтов. Именно на этом этапе социальная инженерия становится ключевым элементом компрометации.

Имперсонация сотрудников внутренней службы поддержки снижает защиту пользователей от нежелательных внешних контактов.

Разведка и закрепление в сети

После получения доступа злоумышленники проводят оперативную разведку. Они проверяют, какие инструменты и ресурсы доступны, используют командную строку и собирают сведения о целевой системе, включая:

• операционную систему;
• принадлежность к домену;
• доступные учетные данные;
• контексты выполнения и параметры среды.

Затем атакующие переходят к закреплению. Для запуска вредоносных компонентов они используют DLL side-loading, подменяя или сопровождая доверенные приложения дополнительными модулями. Такой подход помогает обходить традиционные защитные механизмы, поскольку вредоносный код исполняется в рамках процессов, которые выглядят легитимными.

Дополнительно злоумышленники могут проверять контексты выполнения через данные, хранящиеся в Windows Registry, чтобы адаптировать свои действия и снизить вероятность обнаружения.

Перемещение внутри сети и доступ к критическим объектам

Когда плацдарм в среде жертвы уже создан, атакующие используют собственные административные протоколы для lateral movement. В частности, речь идет о WinRM — Windows Remote Management, который позволяет им перемещаться между системами с использованием учетных данных и получать доступ к более ценным объектам, включая domain controller.

На этом этапе злоумышленники расширяют присутствие в корпоративной сети, устанавливают вспомогательные инструменты и укрепляют контроль над инфраструктурой. Использование легитимных административных механизмов позволяет им имитировать обычную активность администраторов и затрудняет выявление атаки.

Экcфильтрация данных через Rclone

После закрепления в среде жертвы злоумышленники переходят к целенаправленной exfiltration данных. Для вывода информации они используют программное обеспечение для удаленного управления и передачи файлов, в частности Rclone.

С его помощью документы, имеющие отношение к бизнесу, передаются во внешние Cloud services. Такой подход позволяет атакующим:

• минимизировать шум в инфраструктуре;
• снижать риск обнаружения;
• маскировать утечку под обычные сетевые операции;
• использовать доверенные каналы для вывода данных.

Именно комбинация удаленного доступа, административных протоколов и легитимных инструментов делает эту схему особенно опасной: она органично вписывается в привычные рабочие процессы организации.

Что рекомендуют эксперты по кибербезопасности

Чтобы противостоять подобным атакам, меры Cybersecurity должны включать как технические, так и организационные шаги. В центре внимания — ужесточение контроля за удаленным доступом, расширение мониторинга и повышение осведомленности сотрудников.

Среди ключевых рекомендаций называются:

• внедрение MFA — Multi-Factor Authentication;
• ограничение удаленных сеансов с поддержкой учетных данных;
• применение правил ASR — Attack Surface Reduction;
• использование функции ZAP — Zero-hour Auto Purge — для снижения рисков, связанных с дополнительной загрузкой и сообщениями управления;
• обучение пользователей распознаванию легитимных и нелегитимных обращений от службы поддержки.

Отдельный акцент делается на необходимости обучать сотрудников различать нормальные и подозрительные сценарии взаимодействия. Это важно, поскольку злоумышленники все чаще используют существующие рабочие процессы совместной работы в злонамеренных целях.

Вывод

Описанная тактика показывает, насколько эффективно современные атакующие комбинируют social engineering, удаленный доступ и использование доверенных инструментов. Подобные кампании опасны не только из-за скрытности, но и потому, что они эксплуатируют внутренние механизмы корпоративной среды, а не пытаются ломать ее в лоб.

Для организаций это означает необходимость пересматривать подход к защите удаленного доступа, усиливать контроль над identity и обучать сотрудников распознавать попытки имперсонации — особенно в каналах, которые традиционно считаются безопасными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.