脅威アクターは、企業ネットワークに侵入するために、複雑なソフトウェアの脆弱性よりもソーシャルエンジニアリングに依存することが増えています。
2025年11月、マイクロソフトの検知・対応チーム(DART)は、攻撃者がMicrosoft Teamsの音声フィッシング(ヴィッシング)を使用してQuick Assistを経由して企業デバイスを侵害した注目すべきアイデンティティファースト侵入を調査しました。
この事件は、マイクロソフトの最新サイバー攻撃シリーズで詳しく説明されており、正当な協業ツールとリモートサポートツールを兵器化する危険性が高まっていることを浮き彫りにしています。
侵入は執拗なヴィッシングキャンペーンから始まりました。脅威アクターは社内ITサポートになりすまし、Microsoft Teamsを経由して複数の従業員と直接音声通話を開始しました。
最初の2人の対象者は不審な行動を認識して従わなかったが、3人目の従業員は詐欺に引っかかりました。
正当なサポートスタッフと相互作用していると信じた従業員は、組み込みのWindows Quick Assistアプリケーションを使用して、攻撃者に自分のマシンへのリモートアクセスを許可しました。
マルウェア実行とコマンドアンドコントロール
リモート対話的アクセスが確保されると、脅威アクターはソーシャルエンジニアリングから実際のキーボード操作による悪用へとシフトしました。
彼らは侵害されたユーザーを、なりすましログインフォームを含む悪意のある攻撃者管理ウェブサイトに誘導しました。被害者が企業認証情報を入力した後、サイトは複数の悪意あるペイロードのダウンロードを開始しました。
静かな足がかりを確立するため、攻撃者は偽装されたMicrosoft Installer(MSI)パッケージを利用しました。このパッケージは、信頼されたWindowsプロセスを悪用して悪意のあるダイナミックリンクライブラリ(DLL)をサイドロードしました。
これにより、攻撃者は正当なソフトウェアになりすましながら、アウトバウンドのコマンドアンドコントロール接続を確立することができました。
脅威アクターは、暗号化されたローダーをデプロイし、標準的な管理ツール経由でリモートコマンドを実行することにより、急速にアクセスを拡大しました。彼らはネットワークトラフィックを隠すためにプロキシベースの接続を利用しました。
認証情報収集とセッションハイジャッキング用の特殊なコンポーネントを導入することで、攻撃者は継続的なコントロールを獲得しました。
彼らは、セキュリティアラームをトリガーしないために、通常の企業ネットワーク活動と混じり合うように設計された技術に具体的に依存しました。
マイクロソフトDARTは侵害を封じ込めるために迅速に介入しました。調査官はヴィッシングの出所を確認し、ディレクトリレベルの影響を防ぐための行動を優先しました。
チームはターゲット化された駆除を実行し、特権資産を保護し横方向の移動を停止するための厳格な封じ込めコントロールを適用しました。
フォレンジック分析により、攻撃者のアクセスは短期間であったこと、主な目的が達成されなかったこと、およびネットワーク上に永続的なメカニズムが残されていないことが確認されました。
翻訳元: https://gbhackers.com/microsoft-teams-based-vishing-attack/
