"IT-поддержка" из Microsoft Teams: новая волна атак с кражей данных и программами-вымогателями

Метод атаки сочетает в себе сразу несколько техник социальной инженерии. Всё начинается с так называемой email-бомбардировки. Злоумышленники отправляют на почтовый ящик жертвы десятки или сотни спам-писем и уведомлений. Это делается намеренно. Человек теряется в потоке бесполезных сообщений, а затем ему поступает звонок или сообщение в Microsoft Teams. Собеседник представляется сотрудником отдела технической поддержки и предлагает помочь устранить завал в почте. Доверчивый пользователь соглашается.

После этого злоумышленник просит разрешить удалённое подключение через RMM-инструменты (класс программ для удаленного мониторинга и управления). Чаще всего используются легитимные утилиты Quick Assist от Microsoft или AnyDesk. Получив доступ к экрану и системе, атакующий начинает действовать по заранее продуманному сценарию. Он может выгрузить конфиденциальные файлы или запустить дополнительную полезную нагрузку. Эта нагрузка либо закрепляется в системе для будущего доступа, либо сразу шифрует данные с требованием выкупа.

Специалисты eSentire обнаружили несколько конкретных случаев, которые чётко демонстрируют механизм атаки. В одной из ситуаций после подключения через Quick Assist или AnyDesk злоумышленник перешёл на официальный сайт WinSCP. Это популярная программа для безопасной передачи файлов. С него была скачана портативная версия утилиты, которая не требует установки. С её помощью данные жертвы были скопированы на серверы злоумышленников. В другом инциденте всё началось так же. Сотрудник организации открыл доступ, и атакующий загрузил на компьютер архив с названием Email-Deployment-Process-System.zip. Внутри находился исполняемый Java-файл. Этот файл запустил вредоносное приложение, после чего началась кража информации.

Особого внимания заслуживает инфраструктура, которую используют злоумышленники. Подавляющее большинство вредоносных сообщений в Teams приходит с IP-адресов, арендованных у так называемых bulletproof hosting (хостинг-провайдеров, игнорирующих жалобы на вредоносную активность). Среди поставщиков услуг фигурируют NKtelecom INC, WorkTitans B.V., Global Connectivity Solutions LLP и GWY IT PTY LTD. Эксперты отмечают, что один и тот же IP-адрес может использоваться для атак на несколько совершенно разных организаций одновременно. Это говорит о координированной, хорошо организованной кампании, а не о действиях случайных хакеров-одиночек.

Тактика социальной инженерии тоже претерпела изменения. Раньше злоумышленники использовали общие учётные записи вроде helpdesk@ или admin@. Теперь они регистрируют свежие домены в зоне .onmicrosoft.com (корпоративная инфраструктура Microsoft 365) и создают правдоподобные имена с IT-тематикой: "IT Protection Department", "Windows Security Help Desk". К этим аккаунтам привязываются реалистичные имена сотрудников, например michaelturner@ или danielfoster@. Такая маскировка делает атаку гораздо более убедительной.

К чему приводит эта активность? Последствия для бизнеса могут быть катастрофическими. Утечка конфиденциальных данных, коммерческой тайны или персональной информации клиентов. Шифрование серверов и рабочих станций программами-вымогателями. Остановка производственных процессов. Финансовые потери от выплаты выкупа и восстановления инфраструктуры. Важно понимать, что подобные атаки не новы. Эту технику ранее использовали такие известные группировки, как Scattered Spider, Payouts King и UNC6692. Однако весной 2026 года, судя по отчётам, частота таких инцидентов резко возросла.

Как защититься? Прежде всего необходимо ограничить приём звонков и сообщений из Microsoft Teams от внешних организаций. Если такое взаимодействие необходимо по бизнес-процессам, следует жёстко ограничить круг разрешённых партнёров. Второй критический момент - контроль над использованием средств удалённого доступа. Утилиты вроде Quick Assist, AnyDesk или ConnectWise должны быть разрешены лишь тем сотрудникам, кому они действительно требуются для выполнения служебных обязанностей. То же самое касается программ для передачи файлов - WinSCP, RClone, FileZilla, MegaSync. Их установка и запуск без веских причин должны быть заблокированы настройками политик.

Сотрудников необходимо обучать. Каждый человек в компании должен знать, что IT-отдел никогда не попросит предоставить удалённый доступ без предварительной официальной заявки. Если поступает такой звонок или сообщение, его следует немедленно прервать и связаться со службой поддержки через проверенный канал: по корпоративному телефону, через внутреннюю систему тикетов или напрямую курирующему администратору. Создание чёткого регламента для проверки неожиданных запросов от имени IT - один из самых эффективных способов предотвратить подобные инциденты.

Ситуация серьёзная, но не безнадёжная. Злоумышленники эксплуатируют человеческий фактор и встроенные механизмы доверия в корпоративных коммуникациях. Технические средства контроля доступа и регулярное обучение персонала способны если не исключить, то значительно снизить риск успешной атаки. Специалисты продолжают мониторинг этой кампании и разрабатывают новые методы обнаружения. Организациям стоит как можно быстрее пересмотреть свои политики безопасности в отношении Microsoft Teams и инструментов удалённого администрирования.

IPv4

• 103.242.75.40
• 139.28.219.30
• 178.130.47.35
• 2.58.14.254
• 45.8.157.185
• 5.8.18.80
• 80.66.72.215
• 94.131.111.162

Domains

• helpdock.top
• infratechopsdesk.onmicrosoft.com
• itprotectiondepartment.onmicrosoft.com
• scanseq.top
• serviceprohub.top
• system-clean.top
• winncompaniesit.onmicrosoft.com

Emails

• helpdesk@dpf.edu.lk