Eine kürzliche Kampagne zeigt, dass Angreifer nicht mehr Software-Schwachstellen nutzen müssen, um Unternehmensnetzwerke zu betreten: Es genügt, um Menschen zu täuschen. Forscher der BlueVoyant-Firma haben beschrieben, wie schädliche Betreiber von Microsoft Teams mit Mitarbeitern von Finanz- und Gesundheitsorganisationen kommunizieren, um ihr Vertrauen zu gewinnen und Remote-Zugriff durch das Quick Assist-Tool zu erhalten, dann eine neue Malware, die sie getauft haben als A0Backdoor. Sie können den vollständigen Bericht der Analysten auf BlueVoyants Blog lesen Hier..
Der ursprüngliche Vektor ist reines Social Engineering: Bevor die Angreifer die Nachricht von Teams senden, sättigen die Angreifer den Posteingang des Opfers mit Müllposten, so dass die nachfolgende Sendung legitim und dringend erscheint. Dann posieren sie als internes Support-Personal, um Hilfe mit dem Problem der unerwünschten Nachrichten zu bieten und die Person bitten, eine schnelle Unterstützungssitzung zu starten. Quick Assist ist ein integriertes Windows-Tool, das für Remote-Hilfe konzipiert ist; Microsoft bietet Beratung über seine Nutzung und Risiken in seinem Support-Center Beamte.
Sobald der Angreifer die Remote-Sitzung erhält, führt er eine Kette von schädlichen Tools ein, die MSI-Installateure enthalten, die als legitime Teams und CrossDeviceService-Komponenten erscheinen (eine Komponente im Zusammenhang mit der Phone Link-App). Die beunruhigende Sache ist, dass diese Installateure digital signiert und in einem Microsoft Cloud-Speicher-Personal-Konto untergebracht wurden, was hilft, grundlegende Erkennungskontrollen zu umgehen.
Die von Forschern beschriebene Persistenz- und Ausführungstechnik mischt Social Engineering mit Missbrauch von gültigen Systemmechanismen. Die Installateure verwenden eine Technik, die als DLL Sideloading in der ein legitimes ausführbares trägt eine schädliche Buchhandlung platziert mit dem gleichen Namen erwartet von dieser binären. MITRE dokumentiert diese Art von Missbrauch als häufige Form von "Sequestration of the execution flow" in seiner ATT & CK Matrix. In diesem Fall enthält die schädliche Buchhandlung - identifiziert als hostfxr.dll von Analysten - komprimierte oder verschlüsselte Daten, die im Speicher entschlüsselt werden, um Shellcode zu werden, und dann die Ausführung an diesen schädlichen Code delegieren.
Um die Analyse schwierig zu machen, erstellt der schädliche Code zahlreiche Threads mit CreateThread, ein Manöver, das Debugging oder Verbrauch von Ressourcen während der dynamischen Analyse verursachen kann, obwohl es scheint nicht zu beeinflussen, die normale Funktion des Systems. Der Shellcode führt Kontrollen durch, um Laborumgebungen oder Sandkasten zu erkennen, und berechnet einen Schlüssel aus SHA-256, den es verwendet, um den Kern der A0Backdoor, die mit AES geschützt ist, zu entschlüsseln. Die Malware wird im Speicher verlagert, entkoppelt seine wesentlichen Routinen und fängt an, Host-Informationen durch Anrufe an Windows-APIs wie DeviceIoControl, GetUserNameExW und GetComputerNameW zu sammeln, um eine engagierte Computer-Fußabdruck zu erstellen.
Eine weitere hochentwickelte Komponente ist die Art, wie die Backdoor mit ihrem Kommandozentrum kommuniziert: sie nutzt MX-Typ DNS-Beratungen zur öffentlichen Auflösung und platziert kodierte Metadaten in Hochentropie-Subdomains. Mailserver geben MX-Datensätze zurück, die codierte Befehle enthalten; Malware-Extrakte und decodiert das Label mehr links vom zurückgegebenen Namen, um Anweisungen oder Einstellungen wiederherzustellen. Diese Verwendung von MX-Datensätzen hilft dem Verkehr, sich mit legitimer Aktivität zu vermischen und kann Erkennungen vermeiden, die sich eher auf TXT-basierte DNS-Tunnel-Techniken orientieren. Wenn Sie besser verstehen wollen, wie das DNS zu einem Exfiltrationskanal oder Steuerung und Steuerung wird, hat Cloudflare Material über DNS Tunneltechniken.
BlueVoyant weist darauf hin, dass die bestätigten Ziele eine Finanzinstitution in Kanada und eine globale Gesundheitsorganisation umfassen. Die Forscher schätzen ein moderates Vertrauen, dass die Kampagne Elemente mit den Taktiken, Techniken und Verfahren teilt, die mit der Gruppe hinter der BlackBasta Ransomware verbunden waren, ein Schauspieler, der nach dem Leck der internen Chats gezeigt worden war. Das Unternehmen betont jedoch, dass es neue Entwicklungen in diesem Angriff gibt: Die Verwendung von signierten MSI-Installatoren, böswilligen Buchläden, die von legitimen Binaries geladen werden, und der A0Backdoor selbst mit seinem C2-Kanal durch MX-Datensätze sind Entwicklungen gegenüber früheren Kampagnen.
Welche praktischen Lehren gibt es für Unternehmen und Nutzer? Erstens, dass die Angriffsfläche jetzt kollaborative Kanäle wie Teams und Remote-Hilfe-Dienstprogramme umfasst; daher muss die Personalausbildung echte Szenarien einbeziehen, in denen der Angreifer als Unterstützung anruft oder schreibt. Auf technischer Ebene ist es angebracht, die Verwendung von Quick Assist einzuschränken oder eine zusätzliche Überprüfung vor dem Start von Remote-Sessions zu verlangen, Richtlinien zu implementieren, die die Installation von MSI-Paketen verhindern, die von der IT-Abteilung nicht genehmigt werden, und die Registrierung und Inspektion von DNS-Verkehr zu stärken, um Konsultationen mit hohen Entropie-Subdomains oder ungewöhnlichen Mustern in MX-Daten zu erkennen.
Endpoint Detection & Response (EDR)-Lösungen und moderne Bedrohungsschutzplattformen können dazu beitragen, DLL Sideloading-Muster, Codeausführung direkt im Speicher- und System Fingerabdruckverhalten zu identifizieren. Es ist auch wichtig, dass Sicherheitsteams anomale eingehende Mail-Spitzen mit anschließenden Kontakten von Teams oder anderen internen Messaging-Plattformen korrelieren, denn das "Spam-Muster zuerst, dann unterstützen Supplanting" ist eine Kampagnensignatur.
Für einzelne Benutzer ist die Empfehlung einfach und direkt: nicht akzeptieren Fernbedienung, wenn Sie dem Gesprächspartner nicht vertrauen und seine Identität nicht durch einen unabhängigen Kanal überprüfen können. Wenn jemand behauptet, IT zu sein, hängen und rufen Sie die offizielle Nummer Ihrer Abteilung; nicht folgen Sie den Anweisungen, die von opportunistischen Nachrichten erhalten. Und wenn Sie etwas Verdächtiges erkennen, melden Sie es sofort, so dass Sicherheitsteams reagieren können und mögliche Intrusion enthalten.
Wenn Sie in die technische Forschung gehen wollen, ist BlueVoyant's Bericht die vollständigste Referenz verfügbar Hier., während Ressourcen wie MITRE ATT & CK Matrix den Missbrauch von DLL Sideloading erklären und Microsoft Dokumentation über Quick Assist Details wie das Werkzeug funktioniert. Das Verständnis dieser separaten Stücke hilft, das vollständige Bild zu sehen: die Angreifer kombinieren Social Engineering mit fortschrittlichen technischen Techniken, und die Verteidigung muss mit Training, technischen Kontrollen und spezialisierte Überwachung reagieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...