Киберпреступники активно используют социальную инженерию в Microsoft Teams, выдавая себя за службу поддержки организаций. Их цель — заставить жертв запустить вредоносный PowerShell-скрипт через функцию Quick Assist в Windows.
Описание
- Метод обмана: Злоумышленники притворяются сотрудниками IT-поддержки, убеждая пользователей выполнить инструкции.
- Вредоносный скрипт: В последней атаке (13 мая 2025) использовался файл Update.ps1, который загружает и исполняет шеллкод для AdaptixC2 - фреймворка для постэксплуатации.
Что такое AdaptixC2?
- Открытый фреймворк: Изначально создан для тестирования на проникновение (Red Team), но, как и Cobalt Strike, может использоваться в злонамеренных целях.
- Доступен на GitHub: Проект появился в августе 2024 года, но уже замечен в реальных атаках.
- Малоизучен: Пока зафиксировано немного образцов malware с этим тегом (см. Malware Bazaar).
Эта кампания демонстрирует растущую популярность легитимных фреймворков (вроде AdaptixC2) среди киберпреступников. Организациям стоит усилить обучение сотрудников и контроль за запуском скриптов.
Индикаторы компрометации
Domains
- tech-system.online
URLs
- https://drive.google.com/uc?export=download&id=1x0-5EVyz2qanm_l4uZW-B3S8ZxKOIz3n
SHA256
- 83ac38fb389a56a6bd5eb39abf2ad81fab84a7382da296a855f62f3cdd9d629d
- 9e3a0d2f85148ea520cdfd9709b26d817287b8c0c37c22623cd06cda8a80ba8b
- ad96a3dab7f201dd7c9938dcf70d6921849f92c1a20a84a28b28d11f40f0fb06
