Wprowadzenie do problemu / definicja
Nowa kampania phishingowa pokazuje, że komunikatory firmowe stały się pełnoprawnym wektorem początkowego dostępu do środowisk przedsiębiorstw. W tym scenariuszu atakujący podszywają się pod pracowników działu IT i kontaktują się z ofiarą przez Microsoft Teams, nakłaniając ją do uruchomienia narzędzia Quick Assist oraz zaakceptowania sesji zdalnej pomocy. W praktyce oznacza to, że użytkownik sam autoryzuje dostęp, co pozwala przestępcom wdrożyć złośliwe oprogramowanie, w tym backdoora określanego jako A0Backdoor.
W skrócie
Kampania była wymierzona między innymi w organizacje z sektora finansowego i ochrony zdrowia. Atak rozpoczynał się od socjotechniki: ofiara najpierw otrzymywała dużą liczbę niechcianych wiadomości, a następnie kontaktował się z nią rzekomy pracownik wsparcia technicznego w Microsoft Teams, oferując pomoc w rozwiązaniu problemu. Po uruchomieniu Quick Assist i zaakceptowaniu połączenia operator wdrażał podpisane pakiety MSI, stosował technikę DLL sideloading i uruchamiał A0Backdoor komunikującego się z infrastrukturą sterującą z użyciem zapytań DNS MX.
Kontekst / historia
Opisany incydent wpisuje się w szerszy trend nadużywania legalnych narzędzi administracyjnych oraz aplikacji powszechnie obecnych w środowiskach korporacyjnych. Z punktu widzenia obrońców szczególnie niebezpieczne jest połączenie zaufanego kanału komunikacji, wbudowanego mechanizmu zdalnej pomocy oraz binariów, które wyglądają jak zwykłe komponenty systemowe lub aplikacyjne.
Badacze wskazują na podobieństwa do taktyk i procedur kojarzonych z ekosystemem Black Basta, ale kampania zawiera również nowe elementy operacyjne. Wśród nich wyróżniają się podpisane instalatory MSI, nowy ładunek A0Backdoor oraz kanał C2 ukryty w ruchu DNS z wykorzystaniem rekordów MX. To może sugerować rozwój wcześniejszych technik stosowanych przez operatorów ransomware i grupy specjalizujące się w początkowym dostępie.
Analiza techniczna
Łańcuch ataku zaczyna się od pretekstingu. Napastnik zwiększa presję i wiarygodność, generując po stronie ofiary problem operacyjny w postaci zalewu spamu. Następnie przez Microsoft Teams kontaktuje się z pracownikiem jako rzekomy członek zespołu IT i proponuje pomoc. Celem nie jest klasyczne wyłudzenie hasła, ale skłonienie użytkownika do samodzielnego uruchomienia Quick Assist, co obniża skuteczność wielu tradycyjnych mechanizmów ostrzegawczych.
Po uzyskaniu interaktywnego dostępu wdrażane są złośliwe instalatory MSI hostowane w infrastrukturze chmurowej. Pliki podszywają się pod komponenty Microsoft Teams oraz CrossDeviceService, czyli legalny element systemu Windows wykorzystywany przez funkcje integracyjne urządzeń. Taki dobór nazw i artefaktów utrudnia szybką identyfikację incydentu zarówno użytkownikowi, jak i mniej dojrzałym procesom bezpieczeństwa.
Kluczowym elementem wykonania kodu jest DLL sideloading. Atakujący wykorzystują legalne binaria Microsoft do załadowania złośliwej biblioteki hostfxr.dll. Biblioteka zawiera zaszyfrowane lub skompresowane dane, które po załadowaniu do pamięci są odszyfrowywane do postaci shellcode’u. Dodatkowo malware tworzy nadmiarowe wątki z użyciem funkcji CreateThread, co może utrudniać analizę dynamiczną oraz destabilizować działanie narzędzi debugujących.
Shellcode realizuje kontrolę środowiska uruchomieniowego, w tym detekcję sandboxa, a następnie generuje klucz wywodzony z SHA-256, wykorzystywany do odszyfrowania właściwego ładunku A0Backdoor zabezpieczonego algorytmem AES. Po uruchomieniu backdoor relokuje się do nowego obszaru pamięci, odszyfrowuje własne procedury i rozpoczyna profilowanie hosta przy użyciu wywołań Windows API, takich jak DeviceIoControl, GetUserNameExW oraz GetComputerNameW.
Najciekawszym elementem operacyjnym pozostaje kanał komunikacji C2. Zamiast popularnych tuneli DNS opartych na rekordach TXT, A0Backdoor wykorzystuje zapytania DNS MX. Metadane są kodowane w subdomenach o wysokiej entropii i wysyłane do publicznych resolverów rekurencyjnych, a odpowiedzi MX zawierają zakodowane dane poleceń lub konfiguracji. Taki mechanizm może skuteczniej maskować aktywność w typowym ruchu sieciowym i omijać detekcje ukierunkowane głównie na nietypowe użycie rekordów TXT.
Konsekwencje / ryzyko
Największe ryzyko wynika z tego, że atak omija psychologiczne i techniczne bariery kojarzone z klasycznym phishingiem e-mailowym. Użytkownik nie musi pobierać podejrzanego załącznika ani wpisywać poświadczeń na fałszywej stronie. Zamiast tego świadomie autoryzuje sesję zdalną z osobą, którą uznaje za pracownika wsparcia technicznego. To znacząco zwiększa skuteczność kampanii w organizacjach, gdzie Teams i Quick Assist są częścią codziennej pracy.
Skutki operacyjne mogą być bardzo poważne. Atakujący zyskują możliwość utrzymania trwałego dostępu do stacji roboczej, rozpoznania środowiska, zbierania danych o hoście, dalszego przemieszczania się w sieci, a docelowo przygotowania gruntu pod kradzież danych, wdrożenie dodatkowych narzędzi post-exploitation lub atak ransomware. Dla sektorów regulowanych, takich jak finanse i ochrona zdrowia, oznacza to również ryzyko naruszeń danych, przestojów operacyjnych oraz problemów zgodnościowych.
Dodatkowym zagrożeniem jest wykorzystanie legalnych komponentów i podpisanych pakietów MSI. Taki model działania ogranicza skuteczność prostych reguł opartych wyłącznie na reputacji pliku lub obecności nietypowych procesów. Z kolei komunikacja DNS MX może pozostać niezauważona w środowiskach, gdzie monitoring DNS jest ograniczony lub skoncentrowany wyłącznie na bardziej znanych wzorcach tunelowania.
Rekomendacje
Organizacje powinny traktować Microsoft Teams oraz Quick Assist jako element powierzchni ataku i objąć je podobnym poziomem kontroli jak pocztę elektroniczną oraz narzędzia administracyjne. W praktyce oznacza to kilka priorytetowych działań.
- Wdrożenie jasnej polityki dotyczącej zdalnego wsparcia, tak aby pracownicy wiedzieli, że dział IT nie inicjuje ad hoc sesji pomocy przez komunikator bez wcześniejszego zgłoszenia i potwierdzenia tożsamości.
- Stosowanie procedury callback, numeru zgłoszenia i potwierdzenia w systemie helpdesk przed rozpoczęciem jakiejkolwiek sesji zdalnej.
- Ograniczenie użycia Quick Assist tam, gdzie nie jest ono biznesowo niezbędne, lub objęcie tego narzędzia dodatkowymi kontrolami bezpieczeństwa.
- Monitorowanie uruchomień Quick Assist, alertowanie o nietypowych sesjach oraz rejestrowanie procesów potomnych powiązanych z sesją zdalną.
- Wzmocnienie telemetryki endpointowej pod kątem uruchamiania podpisanych MSI z nietypowych lokalizacji, przypadków DLL sideloading oraz ładowania bibliotek hostfxr.dll poza spodziewanym kontekstem.
- Rozszerzenie monitoringu DNS o analizę zapytań MX generowanych przez stacje robocze, zwłaszcza gdy zawierają subdomeny o wysokiej entropii lub nietypową częstotliwość komunikacji.
- Szkolenie pracowników z zakresu phishingu konwersacyjnego, w którym napastnik podszywa się pod pomoc techniczną w Teams, Slacku lub innych komunikatorach.
Podsumowanie
Opisana kampania potwierdza, że współczesne ataki coraz częściej wykorzystują legalne kanały komunikacji i wbudowane narzędzia systemowe zamiast prostych, łatwych do wykrycia dropperów. Połączenie Microsoft Teams, Quick Assist, podpisanych instalatorów MSI, DLL sideloading oraz C2 ukrytego w rekordach DNS MX tworzy skuteczny i relatywnie dyskretny łańcuch kompromitacji. Dla organizacji oznacza to konieczność rozszerzenia modeli detekcji poza e-mail i klasyczne dostarczanie malware oraz objęcia komunikatorów i narzędzi wsparcia pełnoprawnym nadzorem bezpieczeństwa.
Źródła
- BleepingComputer — Microsoft Teams phishing targets employees with A0Backdoor malware — https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-targets-employees-with-backdoors/
- BlueVoyant — Threat Intelligence analysis referenced in the report — https://www.bluevoyant.com/
