Ein anfänglicher Zugriffskorridor (IAB), der als KongTuke identifiziert wurde, hat seinen Deliusion-Vektor an Microsoft Teams verändert, in einigen Fällen eine anhaltende Intrusion in Unternehmensnetzwerke in weniger als fünf Minuten erreicht. Dieser Schauspieler überzeugt Mitarbeiter, als internes Support-Personal, zu bleiben und auf ihren Maschinen laufen ein PowerShell-Befehl, dass herunterladen von Dropbox ein ZIP-Paket mit einer tragbaren WinPython-Umgebung, die schließlich startet die Malware als Modell.
Die Taktik beinhaltet mehrere Elemente, die es gefährlich machen: die Verwendung von externen Föderation in Teams, um Opfer zu kontaktieren, Absendernamen, die durch Tricks mit Unicode-Räumen erscheinen, und die Verwendung von legitimen Dienstleistungen (z.B. Dropbox) zu Hause die ursprüngliche binäre. Das Ergebnis ist ein schneller und überzeugender Zugriffskanal, der menschliche und automatisierte Steuerungen ausspringt, wenn ein vertrauenswürdiger Arbeiter die angeforderte Bestellung ausführt.
Technisch gesehen ist die von ReliaQuest beobachtete Probe keine einfache RAT: Es enthält eine widerstandsfähigere Befehls- und Kontrollarchitektur mit einem Fünf-Server-Pool, zufälligen URL-Routen und selbst-updating-Kapazität; es hält auch mehrere Zugriffspfade (primary RAT, reverse Shell und TCP-Backdoor) in separaten Infrastrukturen und verwendet verschiedene Persistenzmechanismen, darunter Run-Tasten, direkte Start-Zugriffe, VBScript-Zugriffe, VBScript-Zugriffe, VB-Zugriffe, VBabschuss, VBScript-Start-Einsteiger und programmierte, VBläger und VB-Einsteiger und VBabweise auf SYSTEM werden nicht mit der Routine der Selbstzerstörung beseitigt des Implantats und kann Wiederanfänger überleben.
Die KongTuke-Änderung illustriert zwei konvergente Trends: die Vermarktung von Zugang durch IABs, um es an Ransomware-Operatoren und die Instrumentierung von kollaborativen Plattformen als Liefervektor für ihr implizites Vertrauen zu verkaufen. Diese Plattformen bieten einfache Mittel, um gezielte Social Engineering zu machen und Microsoft 365 Mieter zu drehen, um traditionelle Blacklists und Blockades zu vermeiden.
Für Organisationen sind die Auswirkungen klar: Es genügt nicht, darauf zu vertrauen, dass regelmäßige Kontrollen oder Grundausbildung diese Kampagnen stoppen. Es ist wichtig, Strategien in Microsoft 365s Mieter, Endpoint-Kontrollen und Telemetrie zu kombinieren, um Versuche zu verhindern, zu erkennen und zu enthalten, die in legitimen Kooperationsströmen geboren werden.
In der unmittelbaren Vorbeugung wird empfohlen, Erlaubte Listen im externen Verband von Teams und begrenzen direkte Messaging mit nicht verwalteten Domänen; Microsoft dokumentiert, wie man externe Zugriffe und Föderationen in Teams und Exchange in seinem Online-Management-Center verwaltet, und diese Konfiguration sollte in Hochrisikoorganisationen überprüft und gehärtet werden: https: / / learn.microsoft.com / microsoft-365 / Lösungen / management-external-access? Ansicht = o365-weltweit. Parallel dazu helfen Aushärtungsmaßnahmen wie strenge MFA-Anwendungen, bedingte Zugriffsrichtlinien und Ausführungssteuerung (AppLocker oder Windows Defender Application Control) einem Benutzer-hit-Befehl, die nicht in bösartige Codeausführung übersetzen.
In Erkennung und Antwort ist es wichtig, nach bestimmten Artefakten zu suchen: programmierte Aufgaben auf SYSTEM-Ebene, ungewöhnliche Einträge in Run, direkter Zugriff auf Startordner, VBScript Starter und das Vorhandensein von tragbaren WinPython Umgebungen oder Dateien wie Pmanager.py. ReliaQuest veröffentlichte Verpflichtungsindikatoren und eine detaillierte Analyse, die in die Bedrohungsjagd und die IMS-Regeln einbezogen werden sollte: https: / / reliaquest.com / blog / Bedrohung-spotlight-help-desk-lure-drop-kongtukes-evolved-modorlorat. Es wird auch empfohlen, Ransomware und Daten Exfiltration Antwort Anleitungen von Behörden wie CISA für Eindämmung und Wiederherstellung Verfahren zu integrieren: https: / / www.cisa.gov / stopransomware.
Wird eine mögliche Infektion erkannt, isolieren Sie sofort die betroffenen Geräte aus dem Netzwerk, bewahren Sie Speicher und Festplatten-Dumping für forensische Analyse, und halten Sie, dass die Anwesenheit der geplanten SYSTEM-Ebene Aufgabe manuelle Reinigung oder Systemrekonstruktion erfordern kann, wenn Zweifel an der vollständigen Beseitigung von Persistenz. Darüber hinaus starten Sie eine Überprüfung der Anmeldeinformationen und aktiven Sitzungen: IABs versuchen, den Zugang zu verschwenken und zu verkaufen, so dass es ein hohes Risiko gibt, dass Konten und Sitzungen beeinträchtigt werden.
Schließlich sollte die organisatorische Antwort ein Update in der Ausbildung des Personals beinhalten: über "nicht klicken", erklären, warum Befehle einfügen und Binaries von externen Chats laufen ist gefährlich und welche Zeichen geben Imposter in Teams (Namen mit Unicode-Räumen, nicht-Business-Domains, dringende Anfragen und technische Anweisungen aus dem Verfahren). Die Kombination aus strengen tenantischen Politiken, proaktiven Endpunktkontrollen und einer bewährten Reaktion reduziert das Aktionsfenster von Schauspielern wie KongTuke deutlich.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...