Microsoft advarer: Teams misbruges i stigende grad til helpdesk‑efterligning
Microsoft advarer om en voksende angrebsbølge, hvor trusselsaktører misbruger Microsoft Teams til at udgive sig for at være interne IT‑ eller helpdesk‑medarbejdere. Angrebene udnytter især ekstern Teams‑kommunikation på tværs af tenants og medarbejderes tillid til velkendte supportprocesser.
Det skriver Bleeping Computer.
Ifølge Microsoft indledes angrebene typisk med en ekstern Teams‑chat, hvor angriberen foregiver at være fra IT‑afdelingen og henviser til et presserende problem – eksempelvis en kontofejl eller en påkrævet sikkerhedsopdatering. Målet er at få medarbejderen til selv at starte en fjernsupportsession, ofte via Quick Assist. Når det lykkes, får angriberen direkte adgang til brugerens system.
Legitime værktøjer som camouflage
Et centralt kendetegn ved angrebene er den omfattende brug af legitime værktøjer og indbygget Windows‑funktionalitet. Efter den første adgang foretager angriberen hurtig rekognoscering via Command Prompt og PowerShell for at afklare rettigheder, domænetilknytning og netværksadgang.
Herefter installeres en mindre malware‑komponent i bruger‑skrivbare mapper som ProgramData. Eksekveringen sker via DLL side‑loading gennem signerede og velkendte applikationer, eksempelvis Adobe Reader eller Windows Error Reporting. Kommunikation med command‑and‑control foregår over HTTPS og falder dermed ind i normal udgående trafik, hvilket gør aktiviteten vanskelig at opdage.
Microsoft peger på, at netop denne brug af “gode” værktøjer gør det svært at skelne angrebet fra almindelig IT‑drift.
Lateral bevægelse og målrettet datatyveri
Når fodfæstet er etableret, sikrer angriberne vedvarende adgang via ændringer i Windows‑registreringsdatabasen. Herefter misbruges Windows Remote Management (WinRM) til lateral bevægelse mod andre systemer, herunder domænetilknyttede maskiner og højværdimål som domænecontrollere.
I de senere faser installeres yderligere fjernadministrationsværktøjer, og data indsamles og eksfiltreres typisk med Rclone til eksterne cloud‑lagringstjenester. Microsoft bemærker, at datatyveriet ofte er stærkt målrettet for at minimere datamængden og reducere risikoen for opdagelse.
Anbefalinger fra Microsoft
Microsoft opfordrer organisationer til at betragte eksterne Teams‑kontakter som utroværdige som udgangspunkt, begrænse eller overvåge brugen af fjernsupportværktøjer og indsnævre WinRM til kontrollerede systemer. Samtidig minder virksomheden om, at Teams tydeligt markerer eksterne afsendere og advarer om potentielle phishing‑forsøg.