Специалисты службы Managed Detection and Response (MDR, управляемое обнаружение и реагирование) раскрыли детали сложной кампании с использованием вредоносной рекламы (malvertising), которая была направлена на компрометацию корпоративных конечных точек через поддельный установщик Microsoft Teams. Атака была остановлена благодаря срабатыванию правил Attack Surface Reduction (ASR, сокращение поверхности атаки) в Microsoft Defender, которые заблокировали подозрительные исходящие соединения и инициировали расследование. Этот инцидент демонстрирует, что современные злоумышленники сочетают методы SEO-отравления, злоупотребление доверенными сервисами вроде Cloudflare и применение короткоживущих сертификатов для обхода традиционных систем защиты.
Описание
Расследование началось 25 сентября 2025 года, когда правила ASR в Microsoft Defender предотвратили попытку установления подозрительного исходящего соединения от недавно запущенного файла. Последующий анализ показал, что атака использовала многоэтапный сценарий, включавший автоматические перенаправления с поисковых систем на вредоносные ресурсы. Ключевым моментом стала временная шкала событий: в 13:42:28 пользователь обратился к поисковой системе Bing, а уже через 11 секунд, в 13:42:39, произошло перенаправление на домен teams-install.icu. Такой короткий интервал исключает возможность ручного взаимодействия и указывает на автоматизированный механизм, характерный для вредоносной рекламы или отравленных результатов поиска. В 13:42:55 было установлено HTTPS-соединение с вредоносным доменом для загрузки полезной нагрузки, а в 14:20:21 зафиксирована подозрительная активность с использованием легитимных системных утилит (living-off-the-land), когда cleanmgr.exe создал процесс DismHost.exe во временных папках. Непосредственная попытка запуска подписанного вредоносного файла MSTeamsSetup.exe произошла в 14:39:00, и уже через 15 секунд правила ASR заблокировали соединение с сервером командования и управления (C2), что предотвратило развитие атаки.
Технический анализ выявил сложную цепочку перенаправлений: поиск в Bing вёл через промежуточный домен team.frywow.com на teams-install.icu. Злоумышленники использовали несколько методов маскировки, включая SEO-отравление (позиционирование вредоносных сайтов в результатах поиска по запросам, связанным с Teams), спуфинг доменов (имитация легитимного ресурса Microsoft) и размещение инфраструктуры на платформе Cloudflare. Домены teams-install.icu и связанные с ними ресурсы использовали IP-адреса 172.67.154.95 и 104.21.72.190, принадлежащие Cloudflare, что позволяло злоумышленникам маскироваться под доверенный трафик. Особое внимание привлек SSL-сертификат, выданный Google Trust Services, со сроком действия всего два дня (с 24 по 26 сентября 2025 года), что типично для кратковременных вредоносных кампаний.
Наиболее изощрённым элементом атаки стало использование подписанного вредоносного файла MSTeamsSetup.exe. Анализ показал, что файл имел действительную цифровую подпись от организации KUTTANADAN CREATIONS INC., с сертификатом, выданным цепочкой Microsoft ID Verified CS EOC CA 01. Срок действия сертификата составлял лишь два дня, что отражает новую тенденцию: злоумышленники активно используют короткоживущие сертификаты для обхода сигнатурных систем защиты, минимизации времени для отзыва сертификатов и эксплуатации доверия к подписанным исполняемым файлам. Исследователи также обнаружили схожие сертификаты в других кампаниях, включая подписантов вроде Shanxi Yanghua HOME Furnishings Ltd, что указывает на масштабную операцию.
Благодаря своевременному срабатыванию правил ASR, вредоносная программа не смогла установить соединение с C2-сервером nickbush24.com. Это предотвратило создание постоянного бэкдора, потенциальную утечку данных, развертывание дополнительных полезных нагрузок и возможную атаку с использованием вымогательского ПО (ransomware). По данным корреляции с разведывательными источниками, заблокированный вредонос относится к семейству Oyster backdoor (также известному как Broomstick или CleanUpLoader), который обладает широкими возможностями для сбора информации и последующей эксплуатации систем.
Для эффективного противодействия подобным угрозам организациям рекомендуется внедрить детектирование аномалий сертификатов, включая оповещения об исполняемых файлах, подписанных сертификатами со сроком действия не более семи дней, и мониторинг новых подписантов, особенно для установочных файлов популярного программного обеспечения. Сетевые механизмы защиты должны отслеживать быстрые перенаправления с поисковых систем на недавно зарегистрированные домены, обращать внимание на загрузки с доменов в зоне .icu и анализировать соединения с IP-адресами Cloudflare, инициированные сразу после поисковых запросов.
Успешное предотвращение этой атаки подчёркивает важность комплексного подхода к безопасности. Эволюция техник living-off-the-land демонстрирует, что злоумышленники постоянно находят новые способы злоупотребления легитимными инструментами, а доверие к цифровым сертификатам не должно быть абсолютным. Правильно настроенные политики ASR способны остановить даже сложные атаки, обходящие традиционные антивирусные решения. Кроме того, скорость современных кампаний вредоносной рекламы требует повышенной бдительности: от момента поискового запроса до попытки заражения может пройти менее 15 секунд, что делает проактивный мониторинг и быстрое реагирование критически важными элементами защиты.
Индикаторы компрометации
Domains
- Nickbush24.com
- team.frywow.com
- teams-install.icu
- witherspoon-law.com
SHA256
- bd6ad2e1b62b2d0994adf322011f2a3afbb14f097efa3cbe741bc4c963e48889
