СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 часа назад
#ИБ

Фишинг под Microsoft Teams распространяет RAT и крадет учетные данные

Специалисты по кибербезопасности выявили phishing campaign, в которой злоумышленники используют приманки в стиле Microsoft Teams для распространения legitimate remote access tool, предназначенного для несанкционированного доступа к системам жертв. Атака строится на социальной инженерии, доверенных доменах и скомпрометированной инфраструктуре, что позволяет существенно снижать вероятность обнаружения.

Как работает атака

Начальный вектор доступа — фишинговые emails или messages, имитирующие уведомления Microsoft Teams. После перехода по ссылке жертва попадает на поддельную страницу, внешне практически неотличимую от настоящего интерфейса сервиса. Там пользователя убеждают загрузить файл, который подается как viewer of meeting protocols или связанное приложение, но на деле является signed installer для remote access tool.

Данная схема опирается на срочные сообщения и элементы давления, чтобы повысить вероятность клика. Злоумышленники эксплуатируют привычку сотрудников доверять известным collaboration services и быстро реагировать на уведомления, особенно если они выглядят как рабочие сообщения.

Компрометация доверенной инфраструктуры

Отдельный риск создает использование скомпрометированных legitimate websites, часто принадлежащих small business в различных секторах — от кафе и hotel до medical institutions. По данным отчета, такие сайты нередко имеют слабые места в security или работают на outdated software, что делает их удобным вектором компрометации.

Использование доверенных domains помогает злоумышленникам обходить security filters и повышает шанс успешной доставки вредоносного файла. В результате пользователь получает доступ к, казалось бы, безопасному ресурсу, что повышает доверие к содержимому страницы и снижает настороженность.

Механизмы закрепления в системе

После установки remote access tool обеспечивает постоянное присутствие в системе с помощью нескольких техник:

  • создает Windows Service для автоматического запуска при загрузке;
  • включает механизм выживания в Safe Mode, чтобы сохранять доступ даже во время устранения неполадок;
  • регистрируется как credential provider в Windows authentication system для сбора учетных данных;
  • интегрируется с Local Security Authority (LSA) для перехвата учетных записей;
  • использует COM object registration для расширения эксплуатационного потенциала.

Такая комбинация техник указывает на зрелую и многослойную схему закрепления. Она рассчитана не только на первоначальный доступ, но и на длительное присутствие в среде жертвы с возможностью последующего развития атаки.

Эволюция фишинга и снижение эффективности классических методов защиты

Отчет подчеркивает, что эта кампания демонстрирует заметную эволюцию фишинговых тактик. Злоумышленники объединяют trusted cloud services, скомпрометированные websites и legitimate software, чтобы уменьшить вероятность обнаружения и обойти защитные механизмы, основанные на репутации и статических сигнатурах.

Особенно тревожным фактором является адаптивность операции: инфраструктура продолжает обновляться, а активность кампании сохраняется на протяжении времени. Это свидетельствует о постоянной поддержке и целенаправленном развитии атакующей схемы.

Чего ждать дальше

По оценке авторов отчета, в будущем злоумышленники могут выйти за пределы тематики Microsoft Teams и использовать другие collaboration services. Вероятна также локализация приманок под конкретные языки и адаптация сценариев под отдельные роли пользователей.

Для организаций это означает необходимость пересмотра подходов к защите. Эксперты рекомендуют сосредоточиться на:

  • behavioral detection;
  • phishing-resistant authentication methods;
  • мониторинге несанкционированного использования remote access software;
  • контроле доверенных, но потенциально скомпрометированных web resources;
  • повышении осведомленности сотрудников о фишинговых сценариях, имитирующих рабочие сервисы.

«Статические методы, основанные исключительно на репутации домена или известных signatures of malware, становятся все менее эффективными против подобных стратегий».

Вывод

Данная кампания демонстрирует зрелую угрозу, сочетающую многослойное закрепление, credential harvesting и гибкую инфраструктурную стратегию. Использование подлинного software и репутационных hosting environments делает атаку особенно опасной для организаций, которые по-прежнему полагаются только на традиционные фильтры и сигнатурное обнаружение.

Компаниям рекомендуется сохранять бдительность и инвестировать в proactive defense measures, адаптированные к новым ландшафтам угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: