Корпоративные пользователи Microsoft Teams стали целью свежей волны целевых атак. Злоумышленники захватывают или создают подложные учётные записи в этом сервисе и выдают себя за сотрудников IT-отдела. Они убеждают жертв выполнить вредоносную команду в PowerShell, которая запускает недокументированную версию трояна ModeloRAT. Этот программный инструмент удалённого доступа ранее уже использовался в атаках на организации. Теперь его доставка происходит через корпоративный мессенджер, а не через поддельные страницы CAPTCHA или расширения браузера.
Описание
Атака начинается с прямого сообщения в чате Microsoft Teams. Пользователю сообщают о якобы срочной проблеме с его устройством или учётной записью. Приём напоминает более ранние операции CrashFix, но социальная инженерия перенесена из браузера в клиент корпоративного общения. В отчёте эксперты подробно описали сценарий: оператор просит жертву скопировать из окна чата команду PowerShell и выполнить её для "диагностики". На самом деле эта команда выступает загрузчиком первой стадии. Она заменяет прежний метод CrashFix, основанный на буфере обмена, хотя логика внутри похожа.
После запуска обфусцированная команда PowerShell записывает ZIP‑архив в папку "%APPDATA%" и молча распаковывает его. Внутри находится портативное окружение WinPython версии WPy64-31401. Этот приём уже встречался в более ранних цепочках KongTuke, где злоумышленники использовали архивы на Dropbox. Затем PowerShell запускает "pythonw.exe" из этого каталога. Процесс выполняется без отображения консольного окна, что затрудняет визуальное обнаружение инфекции.
В отличие от предыдущих версий, где один скрипт выполнял все функции, новая ветвь ModeloRAT разделена на два компонента. Первый отвечает за разведку, второй - за связь с командным центром. Скрипт разведки собирает детальную информацию о системе: членство в домене, процессы, службы, сетевую конфигурацию. Он формирует структурированный JSON для отправки. Это поведение соответствует ранее задокументированным образцам ModeloRAT, которые нацеливались на машины, входящие в домен.
Компонент C2 (командный центр) устанавливает исходящие HTTP‑соединения по жёстко заданным IP‑адресам. Таким образом атакующие обходят блокировку на основе доменных имён. В ходе анализа были зафиксированы такие адреса: 45.61.136[.]94, 64.95.10[.]14, 64.95.12[.]238, 64.95.13[.]76 и 162.33.179[.]149. Это продолжает тактику KongTuke, предпочитающую прямые IP‑запросы для обхода простых репутационных фильтров.
Используемая версия ModeloRAT смогла избежать обнаружения несколькими крупными решениями класса EDR (системы обнаружения и реагирования на конечных точках). Связанные образцы на момент анализа не имели срабатываний антивирусов на VirusTotal. Это говорит о многослойной обфускации, антианалитических проверках и адаптивной частоте отправки сигналов. Сигнатуры и репутационные механизмы пока не успели за этой новой итерацией.
Механизм закрепления в системе тоже изменился. Ранее ModeloRAT использовал ключ Run в реестре ("HKCU\Software\Microsoft\Windows\CurrentVersion\Run"), маскируясь под безобидную программу мониторинга. Теперь к этому добавилась запланированная задача со случайным именем. Она повышает живучесть вредоносной нагрузки и усложняет её удаление, если ликвидировать только один из механизмов. В дереве процессов видно, как "explorer.exe" запускает "powershell.exe", а тот уже восстанавливает полезную нагрузку прямо во время выполнения.
Защитники могут прервать эту цепочку атак в нескольких точках. Стоит ужесточить политики внешнего доступа Microsoft Teams и, где возможно, ограничить или помечать чаты от неизвестных арендаторов, особенно если собеседник представляется сотрудником техподдержки. Необходимо мониторить загрузки из Dropbox или других облачных хранилищ на корпоративных устройствах при отсутствии явного бизнес‑обоснования. Обратите внимание на создание ZIP‑архивов в папке "%APPDATA%" и появление каталога "WPy64-31401". Любое выполнение "pythonw.exe" из пользовательских каталогов (например, "AppData\Roaming" или "Local") должно проверяться - это повторяющийся признак ModeloRAT. Регулярно просматривайте добавления ключей Run и регистрацию запланированных задач, особенно те, которые ссылаются на "pythonw.exe" с необычными случайными именами.
Подробная техническая информация об этом векторе доставки через Microsoft Teams, полные индикаторы компрометации и правила обнаружения будут опубликованы позже. Пока же специалистам по защите следует активизировать мониторинг описанных индикаторов и провести разъяснительную работу с сотрудниками, чтобы те не выполняли команды из чата без проверки через официальные каналы поддержки.
Индикаторы компрометации
IPv4
- 162.33.179.149
- 45.61.136.94
- 64.95.10.14
- 64.95.12.238
- 64.95.13.76
