В апреле 2026 года специалисты Rapid7 сообщили о расследовании инцидента, который затронул крупное корпоративное предприятие. Злоумышленники не взламывали периметр сети напрямую. Вместо этого они просто написали сотруднику в Microsoft Teams от имени службы поддержки. Такая атака наглядно демонстрирует, как привычные инструменты совместной работы становятся новым полем битвы для служб информационной безопасности.
Описание
Атака началась с простого, но эффективного шага. Злоумышленник воспользовался функцией внешнего доступа Microsoft Teams, которая по умолчанию включена во многих средах. Эта возможность позволяет пользователям из одного тенанта инициировать прямые чаты с пользователями из другого. Используя новый тенант с адресом UCICasociacion.onmicrosoft.com, нападавший замаскировался под IT-поддержку и отправил сообщение целевому сотруднику. Через несколько минут после диалога на машине жертвы запустилась скрытая команда PowerShell.
Этот метод очень напоминает тактику группы Octo Tempest. Речь идет о финансово мотивированной хакерской группировке, активной с 2022 года. Она известна агрессивными методами социальной инженерии, включая подмену техподдержки, подмену SIM-карт и манипуляции с многофакторной аутентификацией.
Сразу после общения в Teams на конечную точку сработал вредоносный сценарий PowerShell. Он обратился к облачному хранилищу Dropbox, чтобы скачать ZIP-архив, который вскоре был извлечен и удален. Очевидно, что нападавшие стремились сократить количество цифровых следов на диске. Архив содержал портативную среду WinPython, которую атакующий использовал для запуска второго этапа заражения: программ Collector.py и Pmanager.py. Первый модуль отвечал за разведку, а второй являлся основным агентом управления и связи.
Модуль Collector.py выполнил глубокую разведку системы. Он собрал информацию об имени устройства, установленных обновлениях, привилегиях текущего пользователя, запущенных процессах и службах, сетевых подключениях, ARP-таблицах и доменных данных. Особый интерес представляет то, что скрипт проверял версию операционной системы и установленные хотфиксы. Это позволило злоумышленнику оценить, уязвима ли машина перед конкретной локальной эксплуатацией привилегий, которую он применил позже.
Второй же этап внедрения запускает программу Pmanager.py. Она создает долгоживущий HTTP-маяк на порту 80, который циклически обращается к пяти жестко заданным серверам управления. Сценарий способен загружать DLL-библиотеки через rundll32.exe, запускать дополнительные скрипты Python и команды PowerShell, а также устанавливать MSI-пакеты. Он также обеспечивает закрепление в системе и может обновлять или удалять себя. По мнению экспертов, такое поведение почти полностью совпадает с характеристиками вредоносного фреймворка ModeloRAT, который ранее связывали с группой KongTuke. Главное отличие этой атаки от предыдущих кампаний заключалось именно в способе первоначального доступа: вместо вредоносных расширений браузера использовалась социальная инженерия через Microsoft Teams.
Вскоре Pmanager развернул на зараженном хосте дополнительный модуль, который открыл два исходящих сокета к серверам управления. Один порт был зарезервирован для интерактивной оболочки, другой - для передачи файлов. Используя этот доступ, нападавший начал проверять возможность повторного использования учетных данных по всей сети через множественные попытки аутентификации WebDAV против внутренних систем. Это позволило ему проверить, где приняты текущие учетные данные, не разворачивая дополнительных инструментов. В течение нескольких минут события успешного входа появились на более чем ста внутренних системах.
Следующим шагом стало повышение привилегий. Злоумышленник выполнил файл ssss.dll с помощью rundll32.exe. Эта DLL являлась рефлексивным загрузчиком, который расшифровывал в памяти встроенную полезную нагрузку. Расшифрованным оказался собственный эксплойт для повышения привилегий, нацеленный на уязвимость CVE-2023-36036. Эта проблема безопасности представляет собой переполнение кучи в драйвере cldflt.sys, который отвечает за работу функции "Файлы по запросу" в OneDrive. Успешная эксплуатация позволила нападавшему запустить скрипт internal.py уже от имени системы SYSTEM.
После получения привилегий системы злоумышленник создал запланированную задачу для закрепления в сети. Затем он перешел к перечислению учетных записей Active Directory. Через несколько часов после повышения привилегий были развернуты еще три модуля Python, включая обратный TCP-туннель и прокси-сервер SOCKS5, которые позволяли перенаправлять трафик хакерских инструментов через жертву во внутреннюю сеть.
Наиболее изощренным этапом стала кража пароля пользователя. Примерно через два часа после повышения привилегий нападавший развернул второй DLL-файл. Этот компонент отобразил идеальную копию экрана блокировки Windows 10. Жертва видела обычный экран входа в систему и вводила свой пароль, думая, что разблокирует компьютер. На самом деле программа захватывала введенные данные и записывала их в файл на диске.
Возникает логичный вопрос: зачем похищать пароль у пользователя, если у атакующего уже есть доступ от имени системы? Дело в том, что учетная запись SYSTEM может проходить аутентификацию с использованием учетной записи компьютера, но не может аутентифицироваться как конкретный пользователь. Без доменных учетных данных пользователя невозможно получить доступ к его личным файловым ресурсам, почтовым ящикам, веб-приложениям, ожидающим учетные данные пользователя, или сеансам RDP, требующим интерактивного входа в систему.
Используя похищенные учетные данные, злоумышленник той же ночью успешно прошел аутентификацию по протоколу RDP на другую рабочую станцию в сети. DNS-логи зафиксировали соединения с Dropbox и некоторыми внутренними системами. Кроме того, он выполнил атаку Kerberoasting, запрашивая уязвимые билеты Kerberos для сервисных учетных записей, стремясь расширить доступ в среде.
На следующее утро атакующий вернулся на второй хост через RDP и использовал Microsoft Edge, чтобы загрузить набор инструментов Comae, включая DumpIt - легитимную утилиту для сбора содержимого памяти. Через две минуты после распаковки набора инструментов злоумышленник открыл в браузере сайт uploadnow.io, предлагающий бесплатную анонимную загрузку файлов. Кроме того, он через поиск Bing проверял, безопасен ли сервис SwissTransfer для передачи больших файлов, оценивая дополнительные способы выгрузки данных. Вскоре программа DumpIt.exe была запущена на втором хосте. Она захватывает физическую оперативную память, включая память процесса LSASS, которая может содержать пароли в открытом виде, хеши NTLM и билеты Kerberos. Судя по временным меткам и сетевой активности, дамп памяти был, скорее всего, выгружен через сервис uploadnow[.]io.
Данный инцидент - яркая иллюстрация того, как привычные и доверенные инструменты могут быть обращены против своих владельцев. Злоумышленники не использовали экзотические эксплойты нулевого дня. Они скомбинировали давно известную уязвимость, исправленную в 2023 году, с легитимными инструментами вроде Python, PowerShell и Dropbox, что позволило им оставаться незамеченными на фоне обычной корпоративной активности. Современным командам защиты необходимо понимать, что такие платформы, как Teams, являются частью поверхности атаки, а безопасность, защита личности, видимость конечных точек и быстрая разработка методов обнаружения должны рассматриваться как связанные элементы единой оборонительной стратегии.
Индикаторы компрометации
IPv4
- 104.194.152.246
- 140.82.6.45
- 144.172.111.49
- 144.172.88.18
- 144.172.99.68
- 149.248.78.202
- 149.28.96.170
- 207.246.114.50
- 45.59.122.231
- 45.76.241.51
- 46.225.231.170
- 64.190.113.187
- 64.94.85.158
- 87.120.186.229
- 96.9.125.29
Rogue M365 Tenant (Sender)
- itsupport@UCICasociacion.onmicrosoft.com
