Fałszywe połączenia IT w Microsoft Teams dostarczają EtherRAT do firmowych środowisk - Security Bez Tabu

Fałszywe połączenia IT w Microsoft Teams dostarczają EtherRAT do firmowych środowisk

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz skuteczniej łączą socjotechnikę z legalnymi narzędziami komunikacyjnymi, aby uzyskać dostęp do środowisk organizacji. Najnowsza kampania pokazuje, że Microsoft Teams może zostać wykorzystany nie tylko jako kanał komunikacji biznesowej, ale również jako wektor ataku prowadzący do przejęcia stacji roboczej.

W analizowanym scenariuszu napastnicy podszywają się pod pracowników wsparcia IT, kontaktują się z ofiarą przez Teams i przekonują ją do uruchomienia sekwencji działań kończącej się instalacją malware EtherRAT. To klasyczny przykład vishingu rozszerzonego o phishing oraz nadużycie zaufanych narzędzi administracyjnych.

W skrócie

Atak rozpoczyna się od wiadomości phishingowej z dokumentem udającym ankietę pracowniczą. Wkrótce po otwarciu przynęty użytkownik otrzymuje połączenie głosowe w Microsoft Teams od osoby podszywającej się pod administratora lub pracownika helpdesku.

  • Ofiara otrzymuje phishing z dokumentem PDF lub podobną przynętą.
  • Napastnik kontaktuje się przez zewnętrzne konto w Microsoft Teams.
  • Użytkownik jest nakłaniany do udostępnienia ekranu i przekazania kontroli nad urządzeniem.
  • Instalowane są legalne narzędzia zdalnego dostępu, takie jak AnyDesk lub HopToDesk.
  • Na końcu uruchamiany jest złośliwy instalator MSI dostarczający EtherRAT.

Efektem jest pełna zdalna kontrola nad systemem, możliwość kradzieży danych oraz utrzymanie trwałej obecności w środowisku ofiary.

Kontekst / historia

Kampania wpisuje się w szerszy trend nadużyć komunikatorów korporacyjnych jako elementu początkowego dostępu do organizacji. W ostatnich miesiącach badacze obserwowali już przypadki, w których przestępcy wykorzystywali Teams do podszywania się pod wsparcie techniczne i nakłaniali pracowników do uruchamiania sesji zdalnej pomocy.

Rosnąca skuteczność takich operacji wynika z kilku czynników. Po pierwsze, użytkownicy traktują Teams jako zaufane środowisko pracy. Po drugie, połączenia od zewnętrznych tenantów nie zawsze są odpowiednio weryfikowane. Po trzecie, wiele organizacji dopuszcza użycie różnych narzędzi zdalnego wsparcia, co utrudnia rozróżnienie działań legalnych od złośliwych.

W opisywanym przypadku szczególnie istotna była synchronizacja etapów ataku. Kontakt przez Teams następował krótko po interakcji z przynętą phishingową, co wzmacniało wiarygodność rozmowy i zwiększało szansę, że ofiara potraktuje ją jako część standardowego procesu biznesowego.

Analiza techniczna

Łańcuch infekcji składa się z kilku logicznie powiązanych etapów. Najpierw użytkownik otrzymuje wiadomość phishingową zawierającą dokument odnoszący się do rzekomej ankiety pracowniczej. Po otwarciu przynęty napastnik inicjuje połączenie głosowe w Teams z konta zewnętrznego, przedstawiając się jako pracownik działu IT.

Kolejnym krokiem jest wykorzystanie funkcji współdzielenia ekranu oraz zdalnej kontroli. To moment krytyczny, ponieważ atakujący przechodzą od socjotechniki do bezpośredniej interakcji z urządzeniem ofiary. W praktyce użytkownik sam autoryzuje działania, które w normalnych warunkach powinny wzbudzić podejrzenia.

Następnie instalowane są legalne narzędzia zdalnego dostępu, najczęściej spotykane w środowiskach wsparcia technicznego. Dzięki temu aktywność może początkowo wyglądać jak standardowa pomoc administracyjna, co utrudnia szybką reakcję zespołów bezpieczeństwa.

Po uzyskaniu trwałego dostępu uruchamiany jest złośliwy instalator MSI pełniący rolę loadera. Jego zadaniem jest przygotowanie środowiska, pobranie lub uruchomienie niezbędnych komponentów i dostarczenie właściwego ładunku. W tej kampanii loader wykorzystywał środowisko Node.js do uruchomienia EtherRAT.

EtherRAT to trojan zdalnego dostępu umożliwiający wykonywanie poleceń, operacje na plikach, eksfiltrację danych oraz utrzymywanie trwałości. Szczególnie interesującą cechą zagrożenia jest wykorzystanie mechanizmów powiązanych z blockchainem Ethereum do pozyskiwania aktualnych informacji o infrastrukturze command-and-control. Taki model utrudnia proste blokowanie komunikacji i zwiększa odporność operatorów na działania obronne.

Badacze odnotowali również wiele wariantów instalatorów na serwerze dystrybucyjnym. Sugeruje to aktywny rozwój kampanii, szybkie testowanie zmian oraz stałe dostosowywanie łańcucha dostarczania do mechanizmów wykrywania.

Konsekwencje / ryzyko

Dla organizacji ryzyko związane z tą kampanią jest wysokie, ponieważ atak łączy trzy elementy zwiększające skuteczność: wiarygodny pretekst biznesowy, wykorzystanie zaufanej platformy komunikacyjnej oraz nadużycie legalnych narzędzi administracyjnych. Taki model może ominąć część tradycyjnych zabezpieczeń skoncentrowanych głównie na poczcie i klasycznych wskaźnikach malware.

Skuteczna infekcja może prowadzić do przejęcia stacji roboczej, kradzieży dokumentów, poświadczeń i danych biznesowych. Nie można też wykluczyć dalszego ruchu bocznego, eskalacji uprawnień, przygotowania gruntu pod ransomware lub długoterminowej działalności szpiegowskiej.

Szczególnie narażone są organizacje, które dopuszczają kontakt z zewnętrznymi tenantami w Teams bez ścisłych ograniczeń, a jednocześnie nie posiadają formalnych procedur potwierdzania tożsamości pracowników IT oraz zasad użycia narzędzi zdalnego wsparcia.

Rekomendacje

Podstawowym krokiem powinno być ograniczenie możliwości kontaktu zewnętrznych kont przez Microsoft Teams do przypadków uzasadnionych operacyjnie. Jeżeli pełna blokada nie jest możliwa, warto wdrożyć bardziej restrykcyjne polityki federacji, wyraźne oznaczenia połączeń zewnętrznych oraz monitoring nietypowych interakcji.

Organizacje powinny również jasno zakomunikować użytkownikom, że dział IT nie inicjuje nieplanowanych połączeń z żądaniem przekazania kontroli nad urządzeniem, instalacji nowego oprogramowania lub uruchamiania plików poza standardową procedurą zgłoszeniową. Każda taka prośba powinna być weryfikowana niezależnym kanałem.

  • blokowanie lub ścisła kontrola instalacji AnyDesk, HopToDesk i podobnych narzędzi RMM,
  • monitorowanie uruchamiania instalatorów MSI pobranych z Internetu,
  • wykrywanie nietypowych uruchomień Node.js na stacjach roboczych użytkowników biurowych,
  • analiza logów Teams i Microsoft 365 pod kątem kontaktów z nieznanych tenantów,
  • wdrożenie reguł EDR/XDR korelujących phishing, połączenie Teams, zdalne sterowanie i uruchomienie MSI,
  • stosowanie list dozwolonego oprogramowania oraz ograniczeń wykonania dla nieautoryzowanych binariów i skryptów.

Nie mniej ważny jest aspekt szkoleniowy. Programy świadomości bezpieczeństwa powinny obejmować nie tylko phishing e-mail, ale także vishing, komunikatory korporacyjne i scenariusze podszywania się pod helpdesk podczas rozmów głosowych.

Podsumowanie

Kampania z użyciem fałszywych telefonów wsparcia IT w Microsoft Teams pokazuje, że nowoczesne ataki coraz częściej opierają się na połączeniu zaufanych platform biznesowych, presji psychologicznej i legalnych narzędzi administracyjnych. EtherRAT jest w tym modelu końcowym ładunkiem, ale o sukcesie operacji decyduje przede wszystkim skuteczna manipulacja użytkownikiem.

Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia detekcji poza pocztę i klasyczne sygnatury malware. Kluczowe staje się korelowanie zdarzeń z komunikatorów, telemetrii endpointów, instalacji narzędzi zdalnego dostępu oraz aktywności nietypowych procesów wykonywanych po interakcji użytkownika z rzekomym wsparciem technicznym.

Źródła