脅威アクターはソフトウェアの脆弱性の悪用から離れ、高度なソーシャルエンジニアリング技術を通じて人間の行動をターゲットにすることにシフトしています。
2025年11月にMicrosoftの検出・対応チーム(DART)によって調査された最近の事件は、攻撃者が正規のWindows Quick Assistツールを使用してMicrosoft Teamsの音声フィッシング(ビッシング)で企業エンドポイントを侵害することに成功したというトレンドを強調しています。
攻撃はMicrosoft Teams上で実施された標的型ビッシング キャンペーンとして始まりました。
脅威アクターは内部のIT サポート担当者になりすまし、組織内の複数の従業員に音声通話を開始しました。
このアプローチにより、攻撃者は信頼できるエンタープライズ通信プラットフォームを使用することで、信用できるように見えました。
2人の従業員は疑わしい行動を特定して協力を拒否しましたが、第3のユーザーはだまされ、攻撃者の指示に従うことに同意しました。
通話が正当なものだと信じて、被害者はWindows Quick Assistを介してリモートアクセスを許可しました。これはIT チームによく使用されるネイティブ リモート サポート ユーティリティです。
このアクションにより、攻撃者はソフトウェアの脆弱性を悪用する必要なくシステムへの対話的なアクセスが可能になり、従来のセキュリティ防御を効果的に回避しました。
システムの内部に入ると、攻撃者はソーシャルエンジニアリングから実際のキーボード操作に移行しました。
被害者は詐欺的な認証ページをホストしている悪質なウェブサイトに誘導され、そこで企業の認証情報が抽出されました。認証情報がキャプチャされた後、サイトは複数の悪質なペイロードのダウンロードをトリガーしました。
攻撃の重要なコンポーネントには、トロイの木馬化されたMicrosoft Installer(MSI)パッケージが含まれていました。このインストーラーは、信頼されたWindowsプロセスを悪用して悪質なDLLをサイドロードし、検出を回避しながら実行を可能にしました。
この技術を通じて、攻撃者は正当なシステム活動を装ったコマンド・アンド・コントロール(C2)チャネルを確立しました。
アクセスを拡大するために、脅威アクターは暗号化されたローダーを展開し、組み込みの管理ツールを使用してリモート コマンドを実行しました。
ネットワーク トラフィックはプロキシ インフラストラクチャを通じてルーティングされ、インジケーターを隠ぺいし、ネットワーク監視システムによる検出を回避しました。
認証情報の抽出とセッション ハイジャッキングを促進するための追加ツールが導入され、攻撃者は制御を維持し、環境内を横方向に移動することができました。
Microsoft DARTは侵害をすばやく特定し、封じ込めました。調査官は初期アクセス ベクトルをTeamsベースのビッシング攻撃として確認し、エスカレーションを防ぐための迅速な封じ込め対策を実装しました。
対応は、影響を受けたシステムを隔離し、特権アカウントを保護し、さらなる攻撃者のアクティビティをブロックすることに焦点を当てました。
フォレンジック分析では、攻撃者の滞在時間が限定的であり、永続化メカニズムが正常に確立されず、ディレクトリ レベルでより広範な侵害の証拠がないことが明らかになりました。攻撃者の目的は最終的に達成されませんでした。
この事件は、現代の脅威環境における重大なシフトを浮き彫りにしています。攻撃者は、Microsoft TeamsやQuick Assistなどの正当なツールを悪用して、通常のエンタープライズ操作に溶け込むことがますます増えています。
組織は、ビッシング攻撃に関するユーザーの認識を強化し、リモート アシスタンス ツールに対する厳密なアクセス制御を実装し、信頼できるアプリケーションに関する異常な使用パターンを監視することをお勧めします。
ソーシャルエンジニアリングが進化し続けるにつれて、これらの攻撃から身を守るには、技術的な制御とユーザーの警戒の組み合わせが必要になります。特に、攻撃者がコードではなく信頼を悪用する場合はそうです。
翻訳元: https://cyberpress.org/microsoft-teams-vishing-attack/