Microsoft Teams coraz częściej wykorzystywany w atakach podszywających się pod helpdesk - Security Bez Tabu

Microsoft Teams coraz częściej wykorzystywany w atakach podszywających się pod helpdesk

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft Teams staje się coraz częściej wykorzystywanym kanałem wejścia do środowisk firmowych w kampaniach socjotechnicznych. W opisywanym scenariuszu napastnicy podszywają się pod pracowników działu IT lub helpdesku, aby nakłonić użytkownika do uruchomienia zdalnej sesji wsparcia i w efekcie przejąć kontrolę nad stacją roboczą.

Z punktu widzenia bezpieczeństwa jest to groźne połączenie socjotechniki oraz nadużycia legalnych narzędzi administracyjnych. Atak nie wymaga klasycznego wykorzystania podatności na etapie początkowego dostępu, ponieważ ofiara sama przekazuje kontrolę nad systemem, ufając pozornie wiarygodnemu kontaktowi.

W skrócie

  • Atak rozpoczyna się od wiadomości w Microsoft Teams wysłanej z zewnętrznego konta.
  • Napastnik podszywa się pod dział wsparcia technicznego lub administratora IT.
  • Ofiara jest nakłaniana do uruchomienia narzędzia zdalnej pomocy, najczęściej Quick Assist.
  • Po uzyskaniu dostępu atakujący prowadzi rozpoznanie, wdraża ładunek i może poruszać się po sieci.
  • Do ruchu bocznego i eksfiltracji danych wykorzystywane są legalne mechanizmy, m.in. WinRM i Rclone.

Kontekst / historia

Ten model działania wpisuje się w szerszy trend nadużywania zaufanych platform komunikacyjnych oraz legalnych narzędzi administracyjnych. Z perspektywy obrony szczególnie problematyczne jest to, że pierwszy kontakt odbywa się w kanale biznesowym uznawanym przez pracowników za normalny i bezpieczny.

W wielu organizacjach komunikacja między tenantami w Teams jest dopuszczona, a zdalne wsparcie stanowi codzienny element pracy działów IT. To sprawia, że oddzielenie legalnej pomocy technicznej od aktywności przeciwnika staje się trudniejsze, zwłaszcza gdy kolejne etapy wykorzystują podpisane aplikacje i standardowe narzędzia systemowe.

Analiza techniczna

Incydent ma zwykle charakter wieloetapowy. Najpierw użytkownik otrzymuje wiadomość od zewnętrznego nadawcy w Teams z informacją o rzekomym problemie z kontem, błędzie bezpieczeństwa, konieczności aktualizacji albo pilnej interwencji działu IT. Kluczową rolę odgrywa presja czasu oraz wykorzystanie języka typowego dla komunikacji helpdeskowej.

Kolejny krok to nakłonienie ofiary do uruchomienia sesji zdalnej pomocy. W praktyce często wykorzystywane jest narzędzie Quick Assist, które pozwala operatorowi uzyskać interaktywny dostęp do pulpitu użytkownika. Dzięki temu napastnik nie musi przełamywać zabezpieczeń w tradycyjny sposób, ponieważ ofiara sama autoryzuje połączenie.

Po przejęciu kontroli nad systemem przeciwnik przeprowadza szybkie rozpoznanie środowiska przy użyciu wiersza poleceń i PowerShella. Celem jest ustalenie poziomu uprawnień, przynależności hosta do domeny, dostępnych udziałów, aktywnych połączeń oraz potencjalnych ścieżek dalszego przemieszczania się po infrastrukturze.

Następnie wdrażany jest zestaw plików w lokalizacjach, do których użytkownik ma prawo zapisu, takich jak ProgramData. Złośliwy kod może zostać uruchomiony z wykorzystaniem techniki DLL side-loading, czyli przez podstawienie biblioteki ładowanej przez legalną, podpisaną aplikację. Taki mechanizm utrudnia wykrycie, ponieważ proces wygląda jak autentyczne oprogramowanie biznesowe lub systemowe.

Komunikacja z infrastrukturą operatora prowadzona jest zwykle przez HTTPS, co utrudnia odróżnienie jej od zwykłego ruchu wychodzącego. Po uzyskaniu trwałości, na przykład przez zmiany w rejestrze Windows, atakujący może wykorzystać Windows Remote Management do ruchu bocznego w środowisku i poszukiwania systemów o wyższej wartości, w tym serwerów domenowych.

W końcowej fazie możliwe jest wdrażanie kolejnych narzędzi zdalnego zarządzania, a także selektywna eksfiltracja danych. Zamiast masowego transferu napastnik wybiera najcenniejsze zbiory informacji i wykorzystuje narzędzia takie jak Rclone do przesyłania ich do usług chmurowych, ograniczając tym samym wolumen ruchu i szanse na wykrycie.

Konsekwencje / ryzyko

Największe zagrożenie polega na tym, że cały łańcuch ataku opiera się głównie na legalnych funkcjach i narzędziach. W rezultacie klasyczne mechanizmy bezpieczeństwa bazujące wyłącznie na sygnaturach, prostych wskaźnikach IOC lub blokowaniu znanych plików mogą okazać się niewystarczające.

Z biznesowego punktu widzenia skutki mogą być bardzo poważne. Organizacja naraża się na kradzież danych, przejęcie kont uprzywilejowanych, kompromitację systemów domenowych, dalsze rozprzestrzenienie się incydentu, a nawet przygotowanie środowiska pod wdrożenie ransomware.

Dodatkowym ryzykiem są konsekwencje regulacyjne i operacyjne. Jeśli atak zakończy się eksfiltracją danych klientów, informacji finansowych lub danych wrażliwych, firma może ponieść straty reputacyjne, koszty prawne oraz zakłócenia ciągłości działania.

Rekomendacje

Organizacje powinny traktować zewnętrzne kontakty w Microsoft Teams jako niezaufane domyślnie. Oznacza to konieczność ograniczenia lub ścisłego kontrolowania komunikacji między tenantami, wyraźnego oznaczania nadawców spoza organizacji oraz edukowania użytkowników, aby nie uruchamiali zdalnej pomocy na podstawie niezweryfikowanej wiadomości.

Narzędzia zdalnego wsparcia, w tym Quick Assist, powinny podlegać formalnej polityce użycia, rejestrowaniu oraz monitoringowi. W środowiskach o podwyższonym ryzyku warto ograniczyć ich stosowanie do wybranych grup administratorów, zatwierdzonych hostów lub ściśle określonych procedur serwisowych.

  • Monitorować uruchomienia PowerShella i cmd.exe bezpośrednio po sesjach zdalnego wsparcia.
  • Analizować nietypowe zapisy do ProgramData i innych katalogów zapisywalnych przez użytkownika.
  • Wykrywać przypadki DLL side-loading z udziałem podpisanych aplikacji.
  • Ograniczyć WinRM wyłącznie do ściśle kontrolowanych systemów administracyjnych.
  • Monitorować użycie narzędzi do synchronizacji i transferu danych, takich jak Rclone.
  • Korelować zdarzenia z Teams, narzędzi zdalnej pomocy, zmian w rejestrze oraz ruchu do usług chmurowych.

Równie ważna jest procedura potwierdzania tożsamości pracowników IT. Użytkownik powinien mieć prosty i szybki sposób weryfikacji, czy osoba kontaktująca się przez komunikator rzeczywiście należy do działu wsparcia. Taki mechanizm organizacyjny może zatrzymać atak jeszcze przed uzyskaniem dostępu do stacji roboczej.

Podsumowanie

Nadużycia Microsoft Teams w kampaniach podszywających się pod helpdesk pokazują, że współczesne ataki coraz częściej omijają tradycyjne zabezpieczenia, wykorzystując zaufane kanały komunikacji i legalne narzędzia administracyjne. To problem nie tylko socjotechniczny, ale również operacyjny, wymagający lepszej widoczności zdarzeń, segmentacji oraz kontroli dostępu.

Skuteczna obrona wymaga połączenia polityk organizacyjnych, ograniczeń technicznych i detekcji opartej na kontekście. Firmy, które dopuszczają zewnętrzną komunikację w Teams oraz szerokie wykorzystanie zdalnego wsparcia, powinny szczególnie uważnie przeanalizować ten wektor ryzyka.

Źródła

  1. https://www.bleepingcomputer.com/news/security/microsoft-teams-increasingly-abused-in-helpdesk-impersonation-attacks/
  2. https://www.microsoft.com/security/blog/
  3. https://support.microsoft.com/windows/solve-pc-problems-over-a-remote-connection-with-quick-assist-7c7a365a-a1f1-4b57-9b0f-8c6b0aa0c6f3
  4. https://learn.microsoft.com/windows/win32/winrm/portal
  5. https://rclone.org/docs/