KongTukeハッカーが企業侵害にMicrosoft Teamsを使用

初期アクセスブローカーのKongTukeがソーシャルエンジニアリング攻撃のためにMicrosoft Teamsに移行し、企業ネットワークへの永続的なアクセスを得るまでにわずか5分で済ませることができます。

脅威アクターはユーザーをだまして、最終的にModeloRATを配信するPowerShellコマンドをペーストさせます。これは以前ClickFix攻撃で見られています[1、2]。

KongTukeのような初期アクセスブローカー（IAB）は通常、会社のネットワークアクセスをランサムウェアオペレータに売却し、彼らはそれを使用してファイル盗難とデータ暗号化マルウェアをデプロイします。

サイバー犯罪者はますますMicrosoft Teamsを攻撃に採用し、会社の従業員に連絡を取りITおよびヘルプデスクスタッフになりすまします。

被害者は悪意のあるPowerShellコマンドをシステムで実行するよう説得され、「ModeloRAT」マルウェアがデプロイされます。

ReliaQuestの研究者はこの活動を観察し、KongTukeの戦術の変化であると述べています。以前はWebベースの「FileFix」と「CrashFix」ルアーのみに依存していました。

「このTeamsアクティビティは、Webベースのアプローチに置き換わるのではなく追加されるもので、初期アクセスのためにコラボレーションプラットフォームを使用するKongTukeを初めて目撃しました。」ReliaQuestが説明しています。

「私たちが調査した事件では、1つの外部Teamsチャットがオペレータを冷たいアウトリーチから5分以内の永続的な足がかりに移動させました。」

研究者によると、このキャンペーンは少なくとも2026年4月から活動しており、KongTukeはブロッキングを回避するために5つのMicrosoft 365テナントを循環させています。

内部ITサポートスタッフになりすますために、攻撃者はUnicodeホワイトスペーストリックを使用して表示名を正当に見せます。

Teamsを通じて共有された悪意のあるPowerShellコマンドは、ポータブルWinPython環境を含むDropboxからZIPアーカイブをダウンロードし、最終的にPythonベースのマルウェアであるModeloRAT（Pmanager.py）を起動します。

マルウェアはシステムとユーザー情報を収集し、スクリーンショットをキャプチャし、ホストファイルシステムからファイルを流出させることができます。

ReliaQuestは、この最近のキャンペーンで使用されたModeloRATバージョンが以前の操作で見られたものと比較して進化したことに注目しており、主に3つの方法があります：

1. 5つのサーバープール、自動フェイルオーバー、ランダム化されたURLパス、自己更新機能を備えたより耐性のあるC2アーキテクチャ。
2. プライマリRAT、リバースシェル、TCPバックドアを含む複数の独立したアクセスパスで、1つのチャネルが中断された場合にアクセスを保持するために別々のインフラストラクチャで実行されます。
3. Run keys、Startupショートカット、VBScriptランチャー、標準的なクリーンアップ手順で生き残る可能性のあるSYSTEMレベルのスケジュール済みタスクを使用した拡張永続性メカニズム。

研究者は、スケジュール済みタスクはインプラントの自己破壊ルーチンによって削除されず、他の永続性メカニズムをワイプし、システム再起動を通じて永続化できることに注目しています。

チーム主導の攻撃から防御するために、アローリストを使用して外部Microsoft Teamsフェデレーションを制限して、これらの試みを最初からブロックすることをお勧めします。

さらに、管理者はReliaQuestのレポートで入手可能な侵害インジケータを使用して、攻撃、侵害の兆候、および永続性アーティファクトを探すことができます。