Wprowadzenie do problemu / definicja
Cyberprzestępcy coraz częściej odchodzą od klasycznych kampanii e-mailowych i wykorzystują narzędzia, które w środowisku firmowym uchodzą za całkowicie normalne. Jednym z takich kanałów jest Microsoft Teams, używany na co dzień do komunikacji wewnętrznej, współpracy projektowej i kontaktu z działem wsparcia IT.
W opisywanej kampanii napastnicy podszywali się pod pracowników pomocy technicznej, a następnie przekonywali ofiary do uruchomienia Quick Assist, legalnego narzędzia zdalnego wsparcia dostępnego w systemie Windows. Celem było wdrożenie malware A0Backdoor i uzyskanie trwałego dostępu do zainfekowanego systemu.
W skrócie
Kampania była wymierzona między innymi w organizacje z sektora finansowego i ochrony zdrowia. Atak rozpoczynał się od działań socjotechnicznych, w tym zasypywania ofiary spamem, po czym następował kontakt przez Teams pod pretekstem pomocy technicznej.
- napastnicy wykorzystywali Microsoft Teams do budowania wiarygodności,
- ofiary były nakłaniane do uruchomienia Quick Assist,
- po uzyskaniu dostępu instalowano podpisane pakiety MSI podszywające się pod legalne komponenty,
- malware stosował DLL sideloading i odszyfrowywał ładunek w pamięci,
- komunikacja z serwerem sterującym była ukrywana w zapytaniach DNS MX.
Kontekst / historia
Ten przypadek wpisuje się w szerszy trend nadużywania legalnych narzędzi administracyjnych i komunikacyjnych. Współczesne środowiska pracy opierają się na komunikatorach biznesowych, platformach współpracy i zdalnym wsparciu, dlatego użytkownicy są bardziej skłonni ufać wiadomościom otrzymanym przez znane aplikacje niż tradycyjnym e-mailom phishingowym.
Atak odzwierciedla także podejście living-off-the-land, czyli wykorzystywanie zaufanych aplikacji i natywnych mechanizmów systemowych do ukrycia złośliwej aktywności. Dzięki temu operatorzy mogą ograniczyć liczbę oczywistych artefaktów i utrudnić wykrycie incydentu przez klasyczne narzędzia bezpieczeństwa.
Badacze zwracają uwagę, iż część zastosowanych metod przypomina techniki obserwowane wcześniej w operacjach powiązanych z grupami ransomware, zwłaszcza w obszarze socjotechniki i nadużywania legalnych narzędzi dostępowych. Jednocześnie połączenie podpisanych instalatorów MSI, A0Backdoor oraz komunikacji C2 przez rekordy DNS MX pokazuje rozwój bardziej wyspecjalizowanych technik operacyjnych.
Analiza techniczna
Łańcuch ataku zaczynał się od przygotowania psychologicznego ofiary. Napastnicy generowali presję i dezorientację poprzez zalew niechcianymi wiadomościami, a następnie kontaktowali się przez Teams jako rzekomy dział IT. Taki scenariusz zwiększał szansę, iż pracownik uzna rozmowę za uzasadnioną interwencję techniczną.
Następnie ofiara była nakłaniana do uruchomienia Quick Assist. Po zestawieniu sesji zdalnej operator wdrażał zestaw złośliwych komponentów hostowanych w infrastrukturze chmurowej Microsoft. Wśród nich znajdowały się podpisane cyfrowo pakiety MSI, które podszywały się pod elementy Microsoft Teams oraz legalne usługi systemowe Windows.
Kluczową rolę odgrywała technika DLL sideloading. Napastnicy używali zaufanych binariów Microsoft do załadowania złośliwej biblioteki hostfxr.dll. Biblioteka zawierała zaszyfrowane lub skompresowane dane, które były odszyfrowywane bezpośrednio w pamięci i uruchamiane jako shellcode, co ograniczało liczbę łatwo wykrywalnych śladów na dysku.
Analiza wskazuje również na wykorzystanie funkcji CreateThread w sposób, który mógł utrudniać analizę malware. Nadmierne tworzenie wątków mogło destabilizować środowiska debugowania i spowalniać pracę analityków, jednocześnie nie zakłócając istotnie działania samego złośliwego kodu podczas normalnej infekcji.
Po uruchomieniu shellcode wykonywał kontrole środowiska, w tym mechanizmy wykrywania sandboxów. jeżeli system nie wyglądał na środowisko analityczne, generowany był klucz oparty na SHA-256, służący do odszyfrowania adekwatnego ładunku A0Backdoor zaszyfrowanego przy użyciu AES.
Sam backdoor relokował się do nowego obszaru pamięci, odszyfrowywał własne procedury i rozpoczynał rozpoznanie hosta. W tym celu korzystał z wywołań API systemu Windows, aby zebrać informacje o komputerze i użytkowniku. Taki fingerprint mógł służyć do oceny wartości ofiary, selekcji dalszych działań oraz przygotowania kolejnych poleceń operatorskich.
Szczególnie interesująca była komunikacja z infrastrukturą sterującą. A0Backdoor ukrywał dane sterujące w zapytaniach DNS MX, osadzając zakodowane metadane w subdomenach o wysokiej entropii kierowanych do publicznych resolverów rekurencyjnych. Odpowiedzi przyjmowały postać rekordów MX zawierających zakodowane polecenia, co mogło utrudniać detekcję w organizacjach monitorujących głównie rekordy TXT.
Konsekwencje / ryzyko
Ryzyko związane z tą kampanią jest wysokie, ponieważ opiera się ona na legalnych kanałach komunikacji i narzędziach natywnie obecnych w systemie operacyjnym. To sprawia, iż użytkownicy rzadziej rozpoznają zagrożenie, a część zabezpieczeń może uznać aktywność za zgodną z normalnym wsparciem technicznym.
Wykorzystanie Quick Assist zmniejsza potrzebę dostarczania klasycznych załączników lub linków phishingowych. Z kolei podpisane pakiety MSI i DLL sideloading zwiększają szanse na obejście mechanizmów opartych wyłącznie na reputacji plików, prostych allowlistach i powierzchownych kontrolach aplikacyjnych.
Dodatkowym problemem jest kanał C2 oparty na DNS MX, który może pozostać niezauważony, jeżeli organizacja nie analizuje pełnego kontekstu ruchu DNS. W praktyce skutki mogą obejmować trwały dostęp do stacji roboczej, eskalację uprawnień, ruch boczny w sieci, kradzież danych oraz przygotowanie gruntu pod kolejne etapy ataku, w tym wdrożenie ransomware.
Rekomendacje
Organizacje powinny formalnie uregulować sposób korzystania z Quick Assist i innych narzędzi zdalnego wsparcia. Każda sesja pomocy technicznej powinna być powiązana z autoryzowanym zgłoszeniem i poprzedzona jednoznaczną weryfikacją tożsamości pracownika IT.
W praktyce warto wdrożyć następujące działania:
- monitorowanie uruchomień Quick Assist i korelowanie ich z aktywnością w Microsoft Teams,
- analizę instalacji MSI wykonywanych bezpośrednio po sesjach zdalnych,
- detekcję nietypowego ładowania bibliotek DLL przez zaufane binaria,
- reguły wykrywające anomalie DNS, zwłaszcza zapytania MX o wysokiej entropii,
- ograniczenie uruchamiania nieautoryzowanych instalatorów z lokalizacji chmurowych,
- stosowanie EDR zapewniającego widoczność zdarzeń pamięciowych, wątków i wywołań API,
- szkolenia użytkowników z phishingu prowadzonego przez komunikatory i fałszywy helpdesk.
Z perspektywy zespołów SOC najważniejsze znaczenie ma korelacja telemetrii z wielu źródeł. Pojedynczy alert może nie wzbudzić podejrzeń, jednak ciąg zdarzeń obejmujący spam, kontakt przez Teams, start Quick Assist, uruchomienie MSI i nietypowy ruch DNS powinien być traktowany jako silny sygnał możliwej kompromitacji.
Podsumowanie
Kampania wykorzystująca Microsoft Teams i Quick Assist pokazuje, jak cienka stała się granica między legalną administracją a nadużyciem tych samych mechanizmów przez napastników. A0Backdoor łączy klasyczną socjotechnikę z nowoczesnymi technikami ukrywania ładunku, utrudniania analizy i nieoczywistej komunikacji C2.
Dla organizacji oznacza to konieczność rozszerzenia strategii obronnej poza pocztę elektroniczną. Skuteczna detekcja i reakcja wymagają objęcia monitoringiem komunikatorów firmowych, narzędzi zdalnego wsparcia, pamięci procesów oraz nietypowych wzorców w ruchu DNS.
Źródła
- BleepingComputer — Microsoft Teams phishing targets employees with A0Backdoor malware — https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-targets-employees-with-backdoors/
- BlueVoyant — Threat Intelligence and technical analysis referenced in the campaign report — https://www.bluevoyant.com/
