Новата вълна vishing атаки чрез Microsoft Teams

Според разследването на Microsoft, хакери все по-често използват легитимни инструменти и платформи, вместо да експлоатират софтуерни уязвимости, за да избегнат откриване. Последната кампания, разкрита от екипа за Detection and Response (DART), използва гласов фишинг (vishing) чрез Microsoft Teams, където заподозряният се представя за IT поддръжка и насочва служители към компрометиране на корпоративни устройства.

След два неуспешни опита, атакуващият успява да убеди трети служител да предостави дистанционен достъп чрез Quick Assist, което позволява първоначалния компромис.

Етапи на атаката

Социално инженерство – служителят е насочен към злонамерен уебсайт и попълва корпоративни идентификационни данни.
Използване на легитимен софтуер за sideloading – маскиран Microsoft Installer пакет инсталира злонамерена DLL библиотека, установявайки връзка с команден център (C2).
Разширяване на компромиса – последващи payload-и включват:
- криптирани loader-и
- изпълнение на отдалечени команди чрез стандартни административни инструменти
- прокси-базирана комуникация за прикриване на активността
Дългосрочен контрол – събиране на идентификационни данни и отвличане на сесии, позволяващо средно-траен интерактивен достъп, без да се задействат аларми.

Значение на човешкия фактор

DART подчертава, че човешката природа и корпоративната култура работят в полза на атакуващите. Служители са свикнали да бъдат отзивчиви, полезни и колаборативни, особено при заявки, които изглеждат като идващи от вътрешни IT екипи.

„Атакуващите експлоатират този инстинкт, използвайки гласов фишинг и колаборативни инструменти, за да създадат усещане за спешност и легитимност, което преодолява вниманието в момента“, обясняват от DART.

Предишни предупреждения и тенденции

Microsoft вече предупреди през октомври 2025 г., че Teams се използва за събиране на информация, кражба на данни и доставяне на зловреден софтуер, като хакерите често се представят за доверени източници.

Колаборативни платформи като Teams са удобен канал за измами c техническa поддръжка, а атакуващите непрекъснато разработват нови техники за доставка на malware и кражба на идентификационни данни.

Реакция и ограничаване на щетите

След идентифициране на успешния Teams vishing опит, DART успява да ограничи обхвата на злонамерената активност, демонстрирайки необходимостта от бърза интервенция и мониторинг на платформите за колаборация.

Препоръки за организациите:

Въвеждане на обучения за социално инженерство
Активиране на многофакторна автентикация (MFA)
Ограничаване на неупълномощен дистанционен достъп
Мониторинг на необичайни действия и известия в Teams

#Microsoft Teams, # Quick Assist, # vishing, # корпоративна сигурност, # социално инженерство

e-security.bg

Подобни

Earth Lusca разширява арсенала си с Windows версии на SprySOCKS

17.06.2026

DragonForce използва Microsoft Teams инфраструктура за скрит контрол

17.06.2026

Китай използва malware срещу медицински изследователски организации

16.06.2026

Украинeц се призна за виновен за участие в операциите на Conti ransomware

15.06.2026

Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер

14.06.2026

ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft

14.06.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"