Хакери се представят за IT поддръжка в Microsoft Teams

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Нова киберкампания използва социално инженерство чрез Microsoft Teams, за да убеди служители във финансовия и здравния сектор да предоставят отдалечен достъп до компютрите си. След получаване на достъп атакуващите инсталират нов тип зловреден софтуер, известен като A0Backdoor.

Атаката комбинира спам, фалшива IT поддръжка и злоупотреба с легитимни инструменти на Windows, за да избегне защитните механизми и да установи дългосрочен достъп до системите.

Изследването на кампанията е извършено от експерти по киберсигурност от BlueVoyant.

Как започва атаката

Атакуващите използват многоетапна схема за манипулация на служители.

Първо те заливат пощенските кутии на жертвите със спам съобщения, създавайки усещане за технически проблем. След това се свързват с тях чрез Microsoft Teams, представяйки се за служители от вътрешния IT отдел.

Хакерите предлагат помощ за решаване на проблема със спама и инструктират служителя да стартира сесия за дистанционна помощ чрез инструмента на Windows Microsoft Quick Assist.

След като служителят предостави достъп, атакуващият може да инсталира зловредни компоненти на системата.

Инсталация чрез фалшиви Microsoft компоненти

Зловредният инструментариум се доставя чрез дигитално подписани MSI инсталатори, които се хостват в личен облачен акаунт на Microsoft.

Файловете се представят като легитимни компоненти на:

  • Microsoft Teams

  • CrossDeviceService – инструмент на Windows, използван от приложението Phone Link

Това позволява на атаката да изглежда като нормална системна активност.

DLL sideloading и скрито зареждане на зловреден код

Кампанията използва техниката DLL sideloading, при която легитимни Microsoft бинарни файлове зареждат злонамерена библиотека.

Зловредната DLL – hostfxr.dll – съдържа компресиран или криптиран код. След зареждането ѝ в паметта:

  1. библиотеката декриптира данните

  2. преобразува ги в shellcode

  3. прехвърля изпълнението към него

Изследователите отбелязват, че библиотеката използва и функцията CreateThread, която създава голям брой нишки. Това може да доведе до срив на инструменти за анализ и дебъгване, което усложнява разследването.

Зареждане на A0Backdoor

Shellcode компонентът извършва няколко проверки преди да активира основния зловреден код:

  • проверка дали се изпълнява в sandbox среда

  • генериране на криптографски ключ чрез SHA-256

Този ключ се използва за извличане и декриптиране на A0Backdoor, който е защитен чрез алгоритъма AES.

След активирането си зловредният софтуер:

  • се премества в нов регион от паметта

  • декриптира основните си функции

  • събира информация за системата

За целта използва Windows API функции като:

  • DeviceIoControl

  • GetUserNameExW

  • GetComputerNameW

Това позволява идентификация и профилиране на компрометирания компютър.

Скрита комуникация чрез DNS

Комуникацията между зловредния софтуер и сървърите за управление се прикрива чрез DNS трафик.

A0Backdoor изпраща DNS MX заявки, съдържащи кодирани метаданни в поддомейни с висока ентропия. Отговорите от DNS сървърите съдържат кодирани команди, които зловредният софтуер декодира и изпълнява.

Този подход има важно предимство – трафикът се слива с нормалните DNS заявки, което затруднява откриването.

Според BlueVoyant използването на MX записи помага да се избегнат защитни механизми, които обикновено следят за TXT-базиран DNS тунелинг.

Потенциална връзка с BlackBasta

Изследователите смятат, че кампанията вероятно е еволюция на тактиките на рансъмуер групата BlackBasta ransomware group.

Тази група се разпадна след изтичане на вътрешни чатове от операцията, но много от нейните техники продължават да се използват.

Въпреки сходствата, новата кампания въвежда и няколко нови елемента, включително:

  • използване на подписани MSI инсталатори

  • новия бекдор A0Backdoor

  • C2 комуникация чрез DNS MX записи

Реални цели на атаката

BlueVoyant е идентифицирала поне две потвърдени цели на кампанията:

  • финансова институция в Канада

  • глобална организация в здравния сектор

Това показва, че нападателите се фокусират върху организации с висока стойност на данните и критична инфраструктура.

Нарастващ риск от социално инженерство в корпоративните платформи

Кампанията демонстрира как инструменти за корпоративна комуникация като Microsoft Teams могат да бъдат използвани като вектор за атака чрез социално инженерство.

Тъй като служителите често приемат подобни съобщения за легитимни, подобни техники стават все по-ефективни за заобикаляне на техническите защити.

#A0Backdoor, # BlackBasta техника, # Microsoft Teams атака, # Quick Assist злоупотреба, # социално инженерство
e-security.bg

Подобни

Earth Lusca разширява арсенала си с Windows версии на SprySOCKS
17.06.2026
china
DragonForce използва Microsoft Teams инфраструктура за скрит контрол
17.06.2026
China_dragon
Китай използва malware срещу медицински изследователски организации
16.06.2026
spyware
Украинeц се призна за виновен за участие в операциите на Conti ransomware
15.06.2026
ransomware
Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер
14.06.2026
gettyimages-1355321121
ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft
14.06.2026
Oracle

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy