Microsoft hat eine Warnung gestartet, die ernst genommen werden sollte: Angreifer nutzen die externe Kollaborationsfunktion von Microsoft Teams, um IT-Mitarbeiter oder Helpdesk zu überzeugen und Mitarbeiter zu überzeugen, ihnen Remote-Zugriff zu geben. Die störende Sache ist nicht so viel das spektakuläre "Hack", sondern die Kombination von Social Engineering und legitimen Werkzeugen, die es den Eindringlingen ermöglicht, sich durch Unternehmensnetzwerke zu bewegen, ohne den üblichen Verdacht zu erhöhen. Diese Warnung ist im Bericht des Unternehmens detailliert, in dem beschrieben wird, wie Intrusionen einer sehr konkreten und wiederholbaren Schrittkette folgen; die komplette Analyse ist auf dem Sicherheitsblog von Microsoft verfügbar. Hier..
Der typische Ausgangspunkt ist eine Nachricht von außerhalb des Teams Mieter: ein Cross-Chat, in dem sich der Angreifer als Techniker identifiziert, ein angebliches Kontoproblem oder ein kritisches Update erwähnt und eine Remote-Support-Session gestartet. Wenn das Opfer akzeptiert, liefern Werkzeuge wie Quick Assist (die Windows Remote Assistance-Anwendung) den Angreifer direkte Kontrolle über das engagierte Team und von dort beginnt das stille Klettern. Um zu verstehen, warum dieser Vektor so effektiv ist, sollte daran erinnert werden, dass viele Mitarbeiter Anträge auf technische Hilfe legitim betrachten und an Tagen des Arbeitsdrucks leicht in die Falle fallen.
Einmal im Inneren, führen die Angreifer eine schnelle Anerkennung mit Command Prompt und PowerShell, um Privilegien, Domänenmitgliedschaft und Netzwerk erreichen zu überprüfen, die Möglichkeit, seitlich zu mehr wertvollen Systemen zu bewegen. Sie stellen dann ein kleines Paket von Komponenten auf den Schreibberechtigungsrouten des Benutzers, zum Beispiel ProgramData, und verwalten, bösartigen Code mit unterzeichneten und vertrauenswürdigen Anwendungen durch die Technik, die als DLL-Seitenrolling bekannt. Diese Verwendung von legitimen Binaries und digitalen Signaturen ist, was schädliche Kommunikation und nachfolgende Aktivität mit normalen Verkehr und Aufgaben verwirrt. Wenn Sie prüfen möchten, wie diese Technik funktioniert, beschreibt die MITRE Wissensbasis sie im ATT & CK Katalog detailliert: DLL Side-Loading (MITRE ATT & CK).
Die Befehls- und Steuerungskommunikation erfolgt in der Regel auf HTTPS, die mit dem Rest des ausgehenden Verkehrs vermischt wird und es schwierig macht, ihn durch traditionelle Netzwerksteuerungen zu erkennen. Mit Beharrlichkeit durch Änderungen in der Windows-Registrierung, Betreiber missbrauchen Windows Remote Management (WinRM), um andere Geräte zu erreichen, die mit der Domäne verbunden sind und manchmal Angriff hochwertige Vermögenswerte wie Domain-Controller. WinRM, entworfen für eine legitime Remote-Administration, wird somit das Rohr, das die Verbreitung in Unternehmensumgebungen erleichtert. Microsoft und die offizielle technische Dokumentation über WinRM erklären seine Funktionsweise und Sicherheitsaspekte in: Windows Remote Management (WinRM) - Microsoft Docs.
In den letzten Schritten des Angriffs stellen die Eindringlinge zusätzliche Remote-Management-Tools in Systemen zur Verfügung, die sie bereits Zugang haben, um die Datenerfassung zu automatisieren und vor allem Nutzungen wie Rclone verwenden, um Dateien an externe Cloud-Speicherpunkte zu übertragen. Die Verwendung von Rclone oder anderen legitimen Synchronisationstools ermöglicht es Ihnen, nur wertvolle Informationen zu filtern und zu extrahieren, Volumen zu reduzieren und die Bedienungs sigil zu verbessern; das Werkzeug selbst und seine öffentliche Dokumentation stehen zur Verfügung Rclone.org die in der Regel von diesen Akteuren verwendet wird, um Daten außerhalb des Umfangs zu senden, ohne offensichtliche Alarme zu erhöhen.
Dieser ganze Prozess, der von Microsoft als neunstufige Kette in den analysierten Fällen beschrieben wird, zeigt, warum "menschlich-operierte" Intrusionen so gefährlich sind: Sie sind nicht von einer einzigen Null-Tage-Explosion abhängig, sondern von der Kombination von Social Engineering, legitimen administrativen Werkzeugen und Missbrauch von unterzeichneten Prozessen verborgen bleiben. Das Erkennen von schädlicher Aktivität ist kompliziert, weil viele der Aktionen wie Routine-IT-Unterstützung oder Management-Aufgaben aussehen. Der Microsoft-Bericht enthält Fänge und eine technische Tour durch diese Stadien, die helfen, anormale Verhaltensmuster zu identifizieren; Sie können es auf Ihrem Security-Blog konsultieren: Cross-tenant helpdesk impersonation playbook.
In diesem Zusammenhang müssen die Empfehlungen technische Kontrollen mit der menschlichen Prävention kombinieren. Microsoft besteht darauf, dass externe Konten in Teams standardmäßig als unzuverlässig behandelt werden sollten und dass Manager strikt Remote-Hilfe-Tools begrenzen oder überwachen. Es empfiehlt auch, die Verwendung von WinRM auf bestimmte Systeme zu beschränken und Transfers auf externe Cloud-Dienste zu überwachen. Für die Dokumentation über die Verwaltung des externen Zugriffs in Teams und die Verringerung der Exposition können Sie dem offiziellen Leitfaden dienen: Externer Zugriff in Microsoft verwalten Teams - Microsoft Docs.
Neben den Konfigurationsmaßnahmen gibt es gute operative Praktiken, die das Risiko abmildern: Mitarbeiter zu erziehen, um die Identität derjenigen zu überprüfen, die alternative Channel-Unterstützung beantragen, zusätzliche Überprüfungen für Remote-Sessions und Aktivierung von Sicherheitskontrollen, die über atypische Ausführungen von signierten Anwendungen, persistente Änderungen im Register und ungewöhnliche Verwendung von Dateisynchronisationstools alarmieren. Endpoints-Erkennungs- und Antwortlösungen (EDR) und White-Listen-Implementierungspolitiken machen es auch schwierig, Payloads durch legitime Binaries durchzuführen.
Es ist keine einzigartige oder wundersame Lösung: Die Verteidigung gegen diese Art von Kampagne erfordert kontinuierliche Überwachung, Netzwerksegmentierung, reduzierte Nutzung von Konten mit dauerhaften Privilegien und strengeren Management-Systemen (z.B. just-in-time-Zugang oder Workstations für administrative Aufgaben). Das allgemeine Muster besteht darin, Verdacht auf unerwartete Support-Anfragen zu erheben und die Fähigkeit eines Angreifers, legitime Werkzeuge als Angreifer zu verwenden, zu reduzieren.
Wenn Sie eine Organisation verwalten, überprüfen Sie die externen Kollaborationsrichtlinien in Teams, bewerten Sie, wer Remote-Besuchssitzungen starten oder akzeptieren kann und Alarme einrichten, um ungewöhnliche Muster zu erkennen. Für technische Geräte ist es angezeigt, PowerShell und WinRM Protokolle, Audit Registry Modifikationen und Steuerungsprozesse zu überprüfen, die HTTPS-Verbindungen auf ungewöhnliche Domänen starten. Die Kombination von Training, administrativen Kontrollen und verhaltensbasierter Erkennung ist die beste Verteidigung gegen eine Klasse von Intrusion, die unser Vertrauen in alltägliche Werkzeuge nutzt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...