Microsoft Teams и другие инструменты Windows используются для взлома корпоративных сетей

Компания Trend Micro заявила, что хакеры используют Microsoft Teams для того, чтобы приблизиться к своим жертвам. Через социальную инженерию они получают учетные данные для удаленных рабочих столов. Далее это доступ используется для установки продвинутых бэкдоров. Хакеры применяют сложные методы социальной инженерии, чтобы внедрить устаревшие и поврежденные файлы .DLL на компьютерах пользователей, что позволяет им размещать вредоносное ПО-бэкдор.

По данным нового отчета исследователей из Trend Micro, атаки начинаются с платформы Microsoft Teams. Злоумышленники используют подделку личностей, чтобы приблизиться к жертвам и убедить их предоставить определенный набор учетных данных. Через Quick Assist или аналогичные средства удаленного рабочего стола они получают доступ к устройствам, где внедряют поврежденные файлы .DLL с помощью программы OneDriveStandaloneUpdater.exe — легитимного обновительного инструмента для OneDrive. Эти файлы .DLL позволяют им размещать BackConnect — тип удаленного административного доступа (RAT), который устанавливает обратное соединение между зараженным устройством и сервером злоумышленника, обходя ограничения фаервола. Это позволяет атакующим поддерживать постоянный доступ, выполнять команды и вытаскивать данные, избегая традиционных мер безопасности.

BackConnect якобы размещается и распространяется с использованием коммерческих облачных хранилищ. Trend Micro сообщает, что атаки начались в октябре 2024 года и в основном сфокусировались на Северной Америке, где зарегистрировано 21 прорыв — 17 в США, пять в Канаде и Великобритании, а также 18 в Европе. Исследователи не указали, были ли атаки успешными или какие отрасли стали основной целью.

Поскольку большинство инструментов, используемых в этой кампании (Teams, OneDriveStandaloneUpdater, Quick Assist), легитимны, традиционные антивирусные и антиmalware услуги недостаточны. Вместо этого предприятия должны обучить своих сотрудников распознавать атаки социальной инженерии и своевременно сообщать о них. Компании также могут обязать использование многофакторной аутентификации (MFA) и ограничивать доступ к средствам удаленного рабочего стола. Наконец, они должны проверять настройки облачного хранения для предотвращения несанкционированного доступа и мониторить сетевой трафик на предмет подозрительных соединений, особенно тех, что направлены на известные серверы управления атаками.