Хакеры применяют Teams в атаках с поддельными установочными файлами с использованием четырёх активно эксплуатируемых уязвимостей

Компания Microsoft предупредила об активных атаках, в которых хакеры используют корпоративный мессенджер Teams в качестве инструмента социальной инженерии. На фоне этой угрозы Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) внесло четыре уязвимости Microsoft в официальный каталог эксплуатируемых CVE, указав на их критическую значимость.

Специалисты Microsoft сообщили, что злоумышленники распространяют поддельные установочные файлы Teams, замаскированные под «MSTeamsSetup.exe». Эти исполняемые файлы снабжены скомпрометированными сертификатами подписи и при запуске внедряют вредоносный бэкдор Oyster.

Он в свою очередь используется для установки шифровальщика Rhysida — вируса-вымогателя, известного атаками на образовательные учреждения, госсектор и бизнес-структуры.

Кампания обнаружена в сентябре 2025 года. Как сообщает команда Microsoft Threat Intelligence, за ней стоит группа Vanilla Tempest — известная под псевдонимами Vice Society и Vice Spider. Эта группировка специализируется на компрометации корпоративных систем с целью шантажа и получения выкупа за украденные данные.

Microsoft отозвала свыше 200 поддельных сертификатов, подписанных через авторитетные центры SSL.com, DigiCert и GlobalSign. Обновлённые версии Microsoft Defender Antivirus и Defender for Endpoint способны обнаруживать все этапы атаки — от поддельного инсталлятора до активности шифровальщика.

Одновременно CISA пополнила свой каталог Known Exploited Vulnerabilities четырьмя уязвимостями в продуктах Microsoft, которые активно используются злоумышленниками. Хотя их идентификаторы не раскрываются в открытых источниках, эксперты подчёркивают, что речь идёт о давно известных, но до сих пор не закрытых дырах, через которые возможно выполнение кода, обход политик безопасности и удалённый доступ.

Microsoft настоятельно рекомендует администраторам корпоративных систем обновить защитные механизмы, проверить подлинность установщиков и настроить ограничения на загрузку стороннего ПО через Teams. Также советуется заблокировать возможность приёма сообщений от внешних пользователей, если это не требуется по бизнес-процессу.