Платформа Teams используется хакерами для удаленного доступа

В современном цифровом мире платформы для командной работы, такие как Teams, играют центральную роль в корпоративной коммуникации. Однако, как показали недавние инциденты, они также могут стать инструментом в руках злоумышленников. Новейшие атаки используют Teams для внедрения вредоносного программного обеспечения и получения удаленного доступа к компьютерам жертв, представляясь сотрудниками IT-поддержки.

Схема атаки

Киберпреступники начинают атаку с direct-сообщения или звонка через только что созданные или скомпрометированные аккаунты в Teams. Эти аккаунты оснащаются убедительными именами, такими как "IT SUPPORT ✅" или "Help Desk Specialist". Злоумышленники используют адреса домена onmicrosoft.com, чтобы придать своим обращениям видимость подлинности.

Имитируя сотрудников IT, атакующие выстраивают доверительные отношения с сотрудниками компаний и убеждают их установить программы для удаленного доступа, такие как QuickAssist или AnyDesk. Получив доступ, они запускают PowerShell-команду для загрузки основного вредоносного ПО.

Официальные защиты и рекомендации

Известные вредоносные загрузчики, среди которых DarkGate и Matanbuchus, позволяют воровать учетные данные, устанавливать устойчивость, выполнять удаленный код и даже превращать процесс в критический для предотвращения его завершения. Маскирующийся под настоящее окно запроса учетных данных Windows, этот вредонос может ещё и захватывать пароли, передавая их на сервера, контролируемые злоумышленниками.

Расследование показало наличие жестко закодированных ключей шифрования, связывающих эту кампанию с финансово мотивированным актором, известным как Water Gamayun. Для борьбы с такими угрозами рекомендуется обучать сотрудников проверять нежелательные контакты даже на внутренних платформах и использовать известный канал для проверки подлинности любой просьбы предоставить учетные данные или программу для удаленного доступа. Комплексная защита должна включать как технические меры, так и образовательные программы для пользователей.

Индикаторы компрометации включают определенные URL-адреса и IP-адреса, служащие для доставки и управления вредоносного ПО. Специалисты инфобезопасности должны внимательно отслеживать такие индикаторы, чтобы нейтрализовать угрозу.

Обновлено: 17.06.2026