Według najnowszych badań przeprowadzonych przez firmę Microsoft, osoby atakujące podszywające się pod pracowników pomocy technicznej wykorzystują wiadomości i rozmowy w aplikacji Microsoft Teams między różnymi dzierżawcami, aby nakłonić pracowników do nawiązania sesji zdalnej pomocy, a następnie szybko przechodzą od bezpośredniego dostępu do systemu do przemieszczania się w sieci, utrwalania obecności i kradzieży danych. Kampania ta pokazuje, jak współczesne ataki mogą rozpoczynać się nie od wiadomości e-mail zawierających złośliwe oprogramowanie, ale od pozornie zwyczajnej rozmowy z pomocą techniczną prowadzonej w ramach zaufanej platformy służbowej.
W raporcie opublikowanym 18 kwietnia badacze bezpieczeństwa firmy Microsoft stwierdzili, że intruzi wykorzystują zewnętrzną komunikację w aplikacji Teams do podszywania się pod pracowników pomocy technicznej i nakłaniania użytkowników do uruchomienia narzędzia Quick Assist lub podobnych narzędzi do zdalnej pomocy technicznej. Po uzyskaniu dostępu do komputera operator może zweryfikować dostęp, uruchomić polecenia rozpoznawcze, wprowadzić złośliwy kod za pośrednictwem legalnych, podpisanych aplikacji, przedostać się głębiej do sieci za pomocą funkcji zdalnego zarządzania systemem Windows, a ostatecznie wykraść dane biznesowe przy użyciu popularnych narzędzi, takich jak Rclone.
To, co sprawia, że kampania ta jest szczególnie niebezpieczna, to fakt, że nie opiera się ona na luce w zabezpieczeniach samego oprogramowania Microsoft Teams. Wykorzystuje ona natomiast zaufanie, poczucie pilności oraz pozory legalności. Atakujący nawiązują kontakt z zewnętrznego konta, podając się za wewnętrzny personel pomocy technicznej, często używając pretekstów takich jak „aktualizacja zabezpieczeń”, „usuwanie spamu” lub „weryfikacja konta”, aby wywrzeć presję na użytkowników i skłonić ich do podjęcia natychmiastowych działań.
Ponieważ interakcja odbywa się w ramach aplikacji Teams, a nie za pośrednictwem typowego wiadomości phishingowej, pracownicy mogą być mniej podejrzliwi niż w przypadku otrzymania nieoczekiwanego załącznika lub monitu o logowanie. Firma Microsoft stwierdziła, że łańcuch ataku wykorzystuje standardowe procesy współpracy i kończy się sukcesem tylko wtedy, gdy użytkownicy zdecydują się zignorować widoczne ostrzeżenia i zatwierdzą kolejne działania, które umożliwiają zdalny dostęp.
To odkrycie pokrywa się z ogólnymi ostrzeżeniami ze strony rządowych i prywatnych podmiotów zajmujących się ochroną cyberbezpieczeństwa. CISA wielokrotnie podkreślała, że operatorzy oprogramowania ransomware i ataków intruzyjnych w coraz większym stopniu polegają na socjotechnice i legalnych narzędziach zdalnego dostępu, aby uzyskać początkową przewagę, zamiast polegać wyłącznie na dostarczaniu złośliwego oprogramowania lub wykorzystaniu luk technicznych.
Firma Microsoft podkreśliła, że aplikacja Teams zawiera wiele zabezpieczeń w momencie pierwszego kontaktu. Obejmują one oznaczanie użytkowników zewnętrznych, monity o akceptację/blokadę, podgląd wiadomości oraz wskaźniki phishingu, które mają pomóc użytkownikom w podjęciu decyzji, czy komunikacja jest godna zaufania, zanim się w nią zaangażują. Firma Microsoft wskazuje również na zabezpieczenia Safe Links dla aplikacji Teams oraz funkcje automatycznego usuwania w momencie wykrycia w programie Defender dla Office 365 jako dodatkowe zabezpieczenia.
Problem polega, jak twierdzi Microsoft, na tym, że monity dotyczące bezpieczeństwa nie zawsze powstrzymują zdeterminowanego inżyniera społecznego. Jeśli użytkownik uzna, że dzwoniący jest prawdziwym pracownikiem działu pomocy technicznej i jest prowadzony przez rzekomo standardową procedurę wsparcia, może kontynuować działania pomimo ostrzeżeń. W niektórych przypadkach atakujący może wzmocnić efekt oszustwa za pomocą połączenia głosowego, przeprowadzając pracownika przez każdy krok niezbędny do uruchomienia sesji zdalnej i zatwierdzenia uprawnień administratora.
Gdy ofiara wyrazi zgodę na sesję, atakujący uzyskują interaktywny dostęp za pośrednictwem Quick Assist lub podobnego oprogramowania do zdalnej pomocy. Microsoft twierdzi, że ten etap często trwa mniej niż minutę: użytkownik uruchamia Quick Assist, wprowadza krótki kod i postępuje zgodnie z serią monitów o zatwierdzenie. Z punktu widzenia ofiary może to wyglądać tak samo jak legalna interakcja w ramach zdalnego wsparcia.
Jednak z perspektywy osoby chroniącej system jest to moment, w którym włamanie przechodzi od perswazji do naruszenia bezpieczeństwa. Microsoft stwierdził, że jedną z kluczowych oznak jest pojawienie się Quick Assist, po którym niemal natychmiast następuje aktywność wiersza poleceń lub PowerShell na tym samym pulpicie. Ta sekwencja sugeruje, że strona zdalna nie tylko obserwuje system, ale aktywnie go bada i przygotowuje do dalszych działań.
Firma Rapid7, która ostrzegała również przed kampaniami phishingowymi wykorzystującymi aplikację Microsoft Teams, zaleciła ostatnio organizacjom wyłączenie lub ograniczenie funkcji Quick Assist tam, gdzie nie jest ona niezbędna z operacyjnego punktu widzenia. Firma zaleciła zablokowanie tej funkcji za pomocą zasad bezpieczeństwa, blokowanie powiązanego ruchu sieciowego lub całkowite usunięcie jej ze środowisk, w których nie jest potrzebna.
Microsoft stwierdził, że pierwsze 30 do 120 sekund po uzyskaniu dostępu zazwyczaj poświęcone jest szybkiemu rozpoznaniu. Atakujący wykorzystują działania w wierszu poleceń, aby ustalić, który użytkownik jest zalogowany, jakie uprawnienia są dostępne, czy komputer jest przyłączony do domeny, jaka wersja systemu Windows jest uruchomiona oraz czy pobliskie systemy są dostępne w celu przemieszczania się w sieci.
Ta faza jest krótka, ale ważna. Informuje operatora, czy zaatakowany punkt końcowy jest wart głębszej inwestycji. W systemach o ograniczonych uprawnieniach, takich jak kioski, środowiska wirtualnych pulpitów lub komputery niebędące własnością firmy, atakujący mogą zatrzymać się po krótkim rozejrzeniu się i powrócić później, gdy dostęp ulegnie poprawie. Jednak w przypadku bardziej wartościowych systemów włamanie szybko przechodzi do etapu przygotowania i wykonania ładunku.
Jak podaje firma Microsoft, po ustaleniu przez atakującego, że system jest przydatny, kolejny etap często polega na umieszczeniu ładunków szkodliwych na dysku w lokalizacjach takich jak ProgramData, a następnie uruchomieniu legalnych, podpisanych aplikacji, które ładują moduły kontrolowane przez atakującego. W zaobserwowanych przypadkach atakujący wykorzystywali zaufane pliki binarne powiązane z legalnymi dostawcami, ale łączyli je ze złośliwymi bibliotekami DLL umieszczonymi w niestandardowych lokalizacjach.
Technika ta, często określana jako „sideloading” bibliotek DLL, jest szczególnie skuteczna, ponieważ pozwala na uruchamianie złośliwego kodu pod przykrywką rozpoznawalnej, podpisanej aplikacji. Dla osób odpowiedzialnych za ochronę systemów proces nadrzędny może na pierwszy rzut oka wydawać się nieszkodliwy. Niebezpieczna aktywność jest ukryta w tym, co ładuje ten zaufany proces i skąd to ładuje. Firma Microsoft stwierdziła, że takie zachowanie może generować sygnały wykrycia, takie jak nieoczekiwane ładowanie bibliotek DLL przez zaufane aplikacje lub wykonywanie kodu z katalogów, do których użytkownik ma uprawnienia zapisu.
Firma Microsoft opisała również etap, w którym duża zaszyfrowana wartość jest zapisywana w lokalizacji rejestru w kontekście użytkownika, gdzie może służyć jako kontener dla zaszyfrowanych danych konfiguracyjnych. Pobierany z zewnętrznego źródła program ładujący może później pobrać i odszyfrować te dane rejestru w pamięci, odtwarzając konfigurację bez zapisywania widocznych plików na dysku.
Ten szczegół ma znaczenie, ponieważ wskazuje na bardziej dopracowany schemat ataku. Zamiast po prostu umieszczać złośliwe oprogramowanie i uruchamiać je, atakujący wydają się oddzielać mechanizm wykonywania od przechowywanej konfiguracji, utrudniając obrońcom wykrycie i usunięcie wszystkiego za jednym razem. Microsoft stwierdził, że zachowanie to jest zgodne z frameworkami takimi jak Havoc, które zostały zaprojektowane w celu eksternalizacji zaszyfrowanej konfiguracji i zachowania elastyczności podczas ponownych uruchomień lub działań naprawczych.
Po uruchomieniu zainfekowany system zaczyna łączyć się z zewnętrzną infrastrukturą przez HTTPS. Microsoft stwierdził, że zaobserwowana aktywność obejmowała procesy związane z aktualizacjami, nawiązujące wychodzące połączenia TCP 443 nie do oczekiwanych usług dostawców, ale do dynamicznie hostowanej infrastruktury opartej na chmurze i nieznanych domen zewnętrznych.
Jest to klasyczna technika maskowania. Szyfrowany ruch sieciowy jest zjawiskiem powszechnym w niemal każdym środowisku korporacyjnym, dlatego złośliwe sygnały nawigacyjne mogą być trudniejsze do odróżnienia od rutynowego działania aplikacji. Firma Microsoft stwierdziła, że korzystanie z infrastruktury hostowanej w chmurze zapewnia atakującym elastyczność, umożliwiając im zmianę lub modyfikację punktów końcowych komunikacji bez konieczności ponownego wdrażania początkowego ładunku.
Raport wskazuje, że włamanie staje się znacznie poważniejsze, gdy atakujący przenoszą się z pierwszego zainfekowanego punktu końcowego do infrastruktury wewnętrznej. Firma Microsoft zaobserwowała ruch WinRM przez port TCP 5985, pochodzący z zainfekowanych systemów i skierowany do dodatkowych urządzeń przyłączonych do domeny, w tym systemów o wysokiej wartości, takich jak kontrolery domeny.
Ta zmiana przekształca naruszenie stacji roboczej w szersze zagrożenie dla przedsiębiorstwa. Gdy atakujący mogą poruszać się w poziomie, korzystając z natywnych protokołów administracyjnych i ważnych poświadczeń, mogą rozpocząć interakcję z infrastrukturą tożsamości, rozszerzyć swój wgląd w środowisko i uzyskać silniejszą kontrolę. Firma Microsoft stwierdziła, że program Defender może wykrywać ten wzorzec jako incydenty obejmujące wiele urządzeń, związane z przemieszczaniem się w poziomie opartym na poświadczeniach lub aktywnością typu „hands-on-keyboard”.
Firma Microsoft poinformowała, że w niektórych przypadkach atakujący instalowali za pośrednictwem programu Windows Installer dodatkowe oprogramowanie do zdalnego zarządzania, w tym Level RMM. Zapewnia to atakującym dodatkową ścieżkę dostępu, niezależną od pierwotnego implantu lub sesji zdalnej.
W praktyce oznacza to, że atakujący nie polegają na jednym punkcie oparcia. Nawet jeśli początkowy ładunek zostanie wykryty i usunięty, dostępne na rynku narzędzia do zdalnego zarządzania mogą nadal umożliwiać dostęp. Zwiększa to odporność włamania i komplikuje usuwanie, ponieważ wprowadza kolejny mechanizm, który może przypominać legalną działalność administracyjną.
Ostatni etap udokumentowany przez Microsoft obejmował użycie Rclone, szeroko stosowanego narzędzia do synchronizacji plików, w celu przeniesienia danych wewnętrznych do zewnętrznej pamięci w chmurze. Microsoft stwierdził, że wzorce wiersza poleceń zawierały wykluczenia typów plików, co sugerowało celową próbę nadania priorytetu informacjom istotnym dla działalności, przy jednoczesnym zachowaniu wydajności transferu i ograniczeniu szumu.
Rclone stał się powszechnie znaną nazwą w sprawach dotyczących wymuszeń i kradzieży danych, ponieważ jest to legalne, obsługujące skrypty i skuteczne narzędzie do przenoszenia dużych ilości plików do usług w chmurze. W odniesieniu do tej kampanii firma Microsoft stwierdziła, że jego wykorzystanie wpisuje się w szerszy schemat, w ramach którego atakujący polegają na narzędziach o niewinnym przeznaczeniu lub podwójnym zastosowaniu na niemal każdym etapie włamania – od uzyskania dostępu i rozpoznania terenu po utrzymanie obecności w systemie i wyciek danych.
Szersza lekcja wynikająca z ustaleń Microsoftu jest taka, że atakujący coraz częściej działają w szarej strefie między współpracą a administracją. Zamiast wdzierać się przez oczywiście złośliwy kod, przekonują użytkowników do aktywowania tych samych rodzajów zaufanych przepływów pracy, od których codziennie zależą organizacje: czat, zdalna pomoc, administracja systemem i transfer plików w chmurze. To utrudnia wykrywanie. Sesja Quick Assist, podpisana aplikacja, polecenie PowerShell, połączenie WinRM i narzędzie do synchronizacji plików w chmurze mogą być w odpowiednim kontekście w pełni legalne. Wyzwanie polega nie tylko na identyfikacji tych narzędzi, ale na zrozumieniu, kiedy pojawiają się w podejrzanej sekwencji i w podejrzanych okolicznościach. Raport Microsoftu kładzie duży nacisk na korelację danych telemetrii z zakresu współpracy, punktów końcowych i tożsamości z tego właśnie powodu.
Wytyczne Microsoftu są wielowarstwowe i pragmatyczne. W zakresie współpracy organizacjom zaleca się przegląd ustawień Teams dla użytkowników zewnętrznych, zapewnienie użytkownikom możliwości wyraźnego odróżniania kontaktów wewnętrznych od zewnętrznych oraz stosowanie ochrony Defender for Office 365, takiej jak Safe Links i Zero-hour Auto Purge w Teams. W zakresie punktów końcowych Microsoft zaleca ograniczenie narzędzi do zarządzania zdalnego, używanie reguł Attack Surface Reduction w trybie blokowania oraz stosowanie Windows Defender Application Control w celu zmniejszenia możliwości sideloadingu. W zakresie tożsamości firma zaleca stosowanie Conditional Access, uwierzytelniania wieloskładnikowego, wymagań dotyczących zgodnych urządzeń oraz ograniczenie WinRM do autoryzowanych stacji roboczych zarządzania i zatwierdzonych ról.
Firma podkreśliła również rolę edukacji użytkowników. Sugerowane środki obejmują tworzenie werbalnej frazy uwierzytelniającej do legalnych interakcji z helpdeskiem, szkolenie pracowników w zakresie sposobu, w jaki prawdziwy personel wsparcia zwykle się kontaktuje, oraz uczenie ich traktowania niezamówionego zewnętrznego kontaktu z pomocą techniczną jako z natury podejrzanego. Te porady ściśle odzwierciedlają wytyczne CISA i innych obrońców, którzy ostrzegali, że zatwierdzony przez użytkownika zdalny dostęp jest obecnie stałym punktem wejścia dla poważnych włamań.
To, co ta kampania ostatecznie ilustruje, to szersza zmiana w działalności zagrożeń w przedsiębiorstwach. Pierwszy ruch w poważnym naruszeniu bezpieczeństwa nie musi już być załącznikiem, zestawem exploitów ani skradzionym hasłem VPN. Może to być prośba o czat. Może to być połączenie głosowe. Może to być ktoś podający się za pracownika wsparcia i przekonujący pracownika do udziału we własnym kompromitowaniu.
Wyniki badań Microsoftu sugerują, że obrona przed tego rodzaju włamaniami będzie wymagała czegoś więcej niż tradycyjnych komunikatów anty-phishingowych. Będzie wymagała silniejszych kontroli dotyczących tego, kto może inicjować zdalne wsparcie, ściślejszego nadzoru nad ścieżkami administracyjnymi takimi jak WinRM, uważnego monitorowania, czy zaufane aplikacje nie działają w niezaufany sposób, oraz szkolenia pracowników, które traktuje platformy współpracy jako część pierwszej linii powierzchni ataku. W środowisku, w którym atakujący mogą przekształcić normalne procesy wsparcia w most do infrastruktury domeny i wyprowadzenia danych w chmurze, różnica między nieszkodliwym czatem wsparcia a pełnoskalowym naruszeniem może wynosić zaledwie kilka kliknięć.
