Ataki przez Microsoft Teams: fałszywe wsparcie IT dostarcza malware EtherRAT - Security Bez Tabu

Ataki przez Microsoft Teams: fałszywe wsparcie IT dostarcza malware EtherRAT

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej łączą phishing, vishing oraz nadużycie legalnych narzędzi administracyjnych, aby uzyskać dostęp do środowisk firmowych. Najnowszy scenariusz wykorzystuje połączenia głosowe w Microsoft Teams, w których napastnicy podszywają się pod dział IT i nakłaniają pracowników do uruchomienia złośliwego oprogramowania EtherRAT.

To przykład wieloetapowego ataku socjotechnicznego, w którym techniczne zabezpieczenia są omijane przez manipulację użytkownikiem. Z perspektywy organizacji zagrożenie jest szczególnie istotne, ponieważ wykorzystuje zaufany kanał komunikacji wewnętrznej i działania pozornie przypominające rutynowe wsparcie techniczne.

W skrócie

Kampania rozpoczyna się od wiadomości phishingowej zawierającej przynętę w postaci firmowej ankiety oraz złośliwego pliku PDF. Następnie ofiara otrzymuje połączenie w Microsoft Teams od zewnętrznego konta podszywającego się pod administratora lub pracownika wsparcia IT.

Po zdobyciu zaufania użytkownika napastnik przekonuje go do udostępnienia ekranu oraz instalacji legalnych narzędzi zdalnego dostępu, takich jak HopToDesk lub AnyDesk. W dalszej fazie uruchamiany jest złośliwy instalator MSI, który pobiera środowisko Node.js, odszyfrowuje ładunek i uruchamia EtherRAT, zapewniający pełną zdalną kontrolę nad stacją roboczą.

  • Atak łączy phishing, vishing i nadużycie narzędzi RMM.
  • Microsoft Teams pełni rolę kanału budującego wiarygodność napastnika.
  • EtherRAT działa jako wieloplatformowy trojan zdalnego dostępu.
  • Łańcuch infekcji utrudnia wykrycie, ponieważ miesza legalne i złośliwe komponenty.

Kontekst / historia

Opisany incydent wpisuje się w rosnący trend wykorzystywania platform komunikacyjnych jako pełnoprawnego wektora ataku. Microsoft Teams jest atrakcyjnym celem, ponieważ jest powszechnie używany do komunikacji biznesowej i zwykle budzi większe zaufanie niż klasyczna wiadomość e-mail.

W ostatnim czasie obserwowano już podobne operacje, w których atakujący najpierw inicjowali kontakt przez wiadomości spamowe lub phishingowe, a następnie przechodzili do rozmów przez Teams, podszywając się pod helpdesk. Celem było skłonienie pracownika do zaakceptowania sesji zdalnej pomocy lub wykonania działań, które otwierają drogę do dalszej kompromitacji systemu.

Znaczenie ma również fakt, że EtherRAT nie jest jednorazowym narzędziem przygotowanym wyłącznie do tej kampanii. Jego ponowne użycie sugeruje rozwój i adaptację malware przez różne podmioty zagrożeń, a obecność wielu wariantów instalatorów może wskazywać na aktywne rozwijanie infrastruktury i technik dostarczania.

Analiza techniczna

Łańcuch ataku rozpoczyna się od wiadomości phishingowej zawierającej dokument PDF podszywający się pod ankietę pracowniczą. Sam plik pełni funkcję przynęty i przygotowuje ofiarę do dalszego kontaktu. Wkrótce po jego otwarciu użytkownik otrzymuje połączenie głosowe w Microsoft Teams od zewnętrznego konta przedstawiającego się jako wsparcie IT.

Kluczowym sygnałem ostrzegawczym jest oznaczenie rozmówcy jako podmiotu zewnętrznego. Mimo to napastnicy wykorzystują presję, autorytet oraz znajomość firmowej terminologii, aby przekonać użytkownika do współpracy. Po nawiązaniu kontaktu ofiara jest nakłaniana do udostępnienia ekranu, a następnie do zainstalowania legalnych narzędzi zdalnego dostępu.

Po ustanowieniu dostępu zdalnego uruchamiany jest złośliwy pakiet MSI, określany jako v7.msi. Pełni on rolę loadera odpowiedzialnego za pobranie legalnego środowiska wykonawczego Node.js, odszyfrowanie osadzonych komponentów i uruchomienie właściwego ładunku. Takie podejście sprawia, że część aktywności może wyglądać jak zwykła instalacja oprogramowania administracyjnego.

Sam EtherRAT jest trojanem zdalnego dostępu napisanym w Node.js. Umożliwia wykonywanie poleceń, operacje na plikach, kradzież danych oraz utrzymywanie trwałości w systemie. Szczególnie interesujący jest mechanizm wykorzystywania inteligentnych kontraktów Ethereum do pozyskiwania informacji o aktywnej infrastrukturze dowodzenia i kontroli, co utrudnia szybkie blokowanie zaplecza operacyjnego napastników.

Z technicznego punktu widzenia kampania stanowi przykład podejścia living-off-trusted-tools. Napastnicy nie polegają wyłącznie na klasycznym malware, lecz łączą zaufane aplikacje, komunikatory korporacyjne i socjotechnikę, zaciemniając granicę między normalną administracją a działaniem intruza.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem kompromitacji jest uzyskanie przez atakujących pełnej kontroli nad stacją roboczą użytkownika. Jeżeli zainfekowany system należy do osoby uprzywilejowanej albo ma dostęp do wrażliwych zasobów, incydent może szybko przerodzić się w naruszenie większej części środowiska organizacji.

Ryzyko związane z kampanią obejmuje zarówno bezpośrednią utratę danych, jak i możliwość długotrwałego utrzymywania się napastnika w sieci. Dodatkowym problemem jest trudność w odróżnieniu złośliwej aktywności od zwykłej sesji wsparcia technicznego, szczególnie w organizacjach dopuszczających połączenia z zewnętrznych tenantów Teams oraz samodzielną instalację narzędzi zdalnego dostępu.

  • kradzież danych biznesowych i poświadczeń,
  • ruch boczny w sieci organizacji,
  • instalacja dodatkowych narzędzi post-exploitation,
  • utrzymanie trwałego dostępu do systemów,
  • ukrywanie aktywności za pomocą legalnego oprogramowania,
  • opóźniona detekcja z powodu mieszania legalnych i złośliwych komponentów.

Rekomendacje

Organizacje powinny traktować Microsoft Teams jako istotny element powierzchni ataku, a nie wyłącznie jako komunikator. Podstawowym krokiem jest ograniczenie lub ścisła kontrola komunikacji z zewnętrznych tenantów, zwłaszcza połączeń głosowych, czatów i funkcji zdalnego sterowania.

W praktyce warto połączyć środki techniczne, proceduralne i szkoleniowe. Istotne jest zarówno ograniczanie możliwości nadużycia legalnych narzędzi, jak i wdrożenie procesów weryfikacji każdej nietypowej prośby o pomoc techniczną.

  • ograniczyć lub blokować połączenia i czaty od zewnętrznych, niezweryfikowanych kont,
  • wyłączyć zdalne sterowanie i udostępnianie ekranu tam, gdzie nie jest to niezbędne biznesowo,
  • wprowadzić listę dozwolonych narzędzi zdalnego dostępu,
  • blokować instalację nieautoryzowanych aplikacji RMM,
  • monitorować uruchomienia pakietów MSI, instalacje Node.js oraz nietypowe procesy potomne powiązane z komunikatorami,
  • wdrożyć reguły EDR/XDR wykrywające sekwencję Teams → narzędzie zdalnego dostępu → MSI → Node.js,
  • szkolić pracowników z rozpoznawania podszywania się pod helpdesk i scenariuszy vishingowych,
  • wymagać formalnej procedury potwierdzania każdej prośby o zdalny dostęp innym kanałem komunikacji,
  • analizować logi Microsoft 365 pod kątem kontaktów z zewnętrznych tenantów i nietypowych sesji wsparcia.

W środowiskach o podwyższonym ryzyku warto dodatkowo wdrożyć application control, ograniczenia wykonywania skryptów i binariów z katalogów użytkownika oraz segmentację stacji roboczych administracyjnych. Regularny przegląd polityk Teams powinien obejmować również sposób oznaczania zewnętrznych rozmówców i obsługę podejrzanych aplikacji lub integracji.

Podsumowanie

Kampania z wykorzystaniem EtherRAT pokazuje, że nowoczesne ataki coraz rzadziej opierają się na pojedynczym złośliwym pliku. O skuteczności decyduje dziś połączenie socjotechniki, zaufanych kanałów komunikacji oraz legalnych narzędzi administracyjnych, które razem pozwalają obejść część tradycyjnych mechanizmów ochronnych.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: komunikatory korporacyjne, polityki zdalnego dostępu i detekcja nadużyć zaufanych aplikacji muszą być integralną częścią strategii cyberbezpieczeństwa. W przeciwnym razie pojedyncza rozmowa w Teams może stać się początkiem poważnego incydentu.

Źródła

  1. Fake IT support calls on Microsoft Teams push EtherRAT malware — https://www.bleepingcomputer.com/news/security/fake-it-support-calls-on-microsoft-teams-push-etherrat-malware/
  2. Unit 42 report on EtherRAT campaign — https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2026-07-03-EtherRAT-Social-Engineering-in-Microsoft-Teams/README.md
  3. Microsoft: New external access protections in Teams — https://www.microsoft.com/en-us/microsoft-365/blog/