Фишинг в Teams через спам-бомбинг и удалённый доступ
С начала октября 2024 года фиксируется целевая malicious campaign, в которой злоумышленники маскируются под сотрудников IT support и через Microsoft Teams добиваются доступа к корпоративным сетям. Атака строится на сочетании social engineering, vishing и последующего развертывания remote access software, включая AnyDesk, под видом помощи в устранении проблем.
По данным отчета, первичный триггер кампании — registration bombing: на корпоративный email жертвы массово оформляются регистрации на множестве online platforms. В результате сотрудник получает лавину spam-сообщений, которые выглядят как легитимные уведомления. Это вызывает confusion и pressure, после чего жертва с большей вероятностью обращается за «помощью» к якобы настоящей IT support.
Как развивается атака
После того как жертва выходит на связь через звонок в Microsoft Teams, злоумышленник, выдающий себя за сотрудника поддержки, использует local language, чтобы быстрее завоевать доверие. Далее он убеждает установить AnyDesk — якобы для диагностики и устранения неполадок, вызванных spam flood.
Как только злоумышленник получает удаленный доступ, он начинает разворачивать additional malicious binaries вместе с AnyDesk, опираясь на уже созданное доверие со стороны жертвы.
- antispam.exe — имитирует легитимную установку anti-spam software и перехватывает учетные данные жертвы;
- antispam_account.exe — предназначен для создания machine accounts;
- antispam_connect_eu.exe и antispam_connect_us.exe — binary files семейства SystemBC, которые устанавливают proxy tunnel для закрепления в системе и скрытного проведения дальнейших атак.
Кража учетных данных и закрепление в сети
Особую опасность в этой кампании представляет то, что атака захватывает usernames и passwords в открытом виде и сохраняет их в файле. Это позволяет злоумышленникам не только получить доступ к учетной записи жертвы, но и глубже проникать в network environment компании.
Дальнейшее развитие атаки включает использование инструментов SharpHound и Impacket для enumeration и mapping структуры Active Directory. Это помогает злоумышленникам выстраивать карту внутренних связей и выбирать наиболее перспективные точки для lateral movement.
В начале сессии также фиксируется kerberoasting: злоумышленник отправляет LDAP requests для поиска уязвимых service accounts. Эта техника часто оказывается эффективной при попытках compromise паролей учетных записей в Active Directory.
Что рекомендуют эксперты
Для снижения риска подобных атак организациям рекомендуется усиливать security posture за счет корректной конфигурации Active Directory и комплексного hardening конечных точек.
- регулярно проверять конфигурации Active Directory;
- поддерживать approved list software для remote access;
- ограничивать несанкционированные установки приложений;
- мониторить необычные коммуникации через Microsoft Teams и другие collaboration tools;
- усиливать защиту endpoints, чтобы затруднить запуск вредоносных binaries.
В отчете подчеркивается, что такие атаки особенно опасны именно потому, что они ориентированы на человека: злоумышленники не ломают периметр напрямую, а вынуждают сотрудника самостоятельно открыть им дверь в корпоративную среду.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



