攻撃者は、エンタープライズ全体の侵害とステルス的なデータ盗難につながるヘルプデスクテーマのソーシャルエンジニアリング攻撃チェーンを実行するために、Microsoft TeamsとWindows Quick Assistをますます悪用しています。
IT サポートになりすまし、正当なツールとプロトコルに依存することで、攻撃者は通常の管理者活動に溶け込みながら、横方向に移動しデータを流出させることができます。
「ヘルプデスク」や「IT サポート」などの名前を使用して、彼らは外部コラボレーション機能を悪用して、従来のフィッシングではなく日常的なサポートとして見えるようにしています。
Teamsの組み込み防御(外部ラベル、Accept/Blockプロンプト、スパム/フィッシングバナー)は存在しますが、攻撃はユーザーにこれらの警告を無視するよう説得することに支点があります。
音声フィッシングはしばしばチャットの上に層として実施され、緊急性を高め、被害者に発信者の身元を確認せずに指示に従うよう促します。
最近のキャンペーンでは、脅威アクターは内部ITまたはヘルプデスクスタッフになりすましながらクロステナント Microsoft Teams チャットを開始し、通話を行います。
これは脅威アクターに問題のトラブルシューティングという名目の下、ワークステーションのインタラクティブなリモートコントロールを直ちに与えます。
信頼関係が構築されると、攻撃者はユーザーにQuick Assistセッションを開始し、短いコードを入力し、すべての昇格プロンプトを承認するよう指示します。
Quick Assistからステルス実行へ
アクセス権を取得した後、攻撃者は最初の1~2分間を、cmd.exeやPowerShellなどのコマンドを実行してユーザー権限、ドメインメンバーシップ、ネットワーク到達可能性を確認するのに費やします。
ホストが十分な権限を持っている場合、攻撃者は小さなステージングバンドルをProgramDataなどの場所にドロップし、信頼されたベンダー署名バイナリを通じてDLLサイドローディングを使用して攻撃者提供モジュールを実行します。
外部Accept/Blockスクリーンはユーザーに初回接触イベントについて通知を提供し、ユーザーが承認する前に送信者の身元を検査するよう促します。
観察されたローダーには、非標準パスから悪質なDLLをロードする更新またはセキュリティテーマの実行可能ファイルが含まれており、信頼されたプロセス名で実行されるコードを可能にします。
攻撃者はまた、暗号化された構成データを保存するために、ユーザーコンテキストレジストリ位置に大きなエンコード値を書き込み、サイドロードされたモジュールが後でメモリ内で復号化します。
このファイルライトアプローチは、再起動と一部の修復アクションを生き残るためにレジストリにコマンドアンドコントロール(C2)設定を保持する最新の侵入フレームワークを反映しています。
ポート443を介したアウトバウンドHTTPS接続は、ハイジャックされた更新スタイルプロセスからクラウドホステッドインフラストラクチャへのC2を確立し、通常のWebトラフィックに見せかけます。
動作するインプラントにより、脅威アクターはTCP 5985上のネイティブWindows Remote Management(WinRM)を使用してネットワーク内でピボットし、追加のドメイン参加システムに到達します。
Microsoftは、ドメインコントローラーおよび他の高価値インフラストラクチャを含むアイデンティティ中心の資産に向かう、これらのユーザー開始セッションからの認証情報を伴う横方向の移動を観察しています。
クリック時の保護のためのSafe Linksは、TeamsチャットメッセージからのURLが悪質な場合、ユーザーに警告します。
制御を拡張するために、攻撃者はmsiexecを通じてコマーシャルリモート管理ツールをリモートで展開し、標準的なITソフトウェアに見える永続的な二次チャネルを自分たちに与えます。
データ盗難の場合、アクターはRcloneなどのユーティリティに依存して、選択されたビジネス文書を外部クラウドストレージに同期します。
転送フィルターは、ノイズの多いファイルタイプを除外しながらビジネス関連のデータに焦点を当てるようにチューニングされることが多く、ボリュームと検出の可能性の両方を低減します。
すべてのステップが正当なアプリと管理プロトコルTeams、Quick Assist、署名付きバイナリ、WinRM、コマーシャルRMM、クラウド同期を使用しているため、侵入は端から端まで日常的なサポート活動と密接に似ています。
リスクと防御的ガイダンス
この攻撃チェーンは、Teamsとリモートサポートに大きく依存するエンタープライズのリスクを大幅に高めます。メール中心のフィッシング制御を回避し、内部ヘルプデスクワークフローに対するユーザーの信頼を悪用するためです。
キオスク、VDI、または非corporation参加デバイスなどの限定的な権限を持つシステムでは、アクターはペイロードを展開せずに一時停止し、簡潔な偵察活動のみを残す可能性があります。
効果的な軽減には、外部コラボレーションポリシーの厳格化、リモートアシスタンスを開始できる人を制限すること、DLLサイドローディングと未承認リモートツールに対するエンドポイントの強化が必要です。
Microsoftは、Teamsに対してSafe LinksとZero Hour Auto Purge(ZAP)を有効にし、特権的な役割に対してMFAを使用した条件付きアクセスを実施し、WinRMを認可された管理者ワークステーションに制限し、ハンティングとカスタム検出を通じてRcloneなどのツールを監視することを推奨しています。
ユーザー教育は引き続き重要です。組織は、正規のITがスタッフにどのように連絡するか、Teamsで外部テナントと警告バナーを認識する方法、および勧誘されていないリモートアシスタンス要求が疑わしいと扱われ、セキュリティチームに報告されるべき理由を明確に説明する必要があります。
Microsoft Defenderのアイデンティティ、エンドポイント、コラボレーションプラットフォーム間の関連テレメトリは、このユーザー開始アクセスパスが完全な侵害にエスカレートする前に検出および中断するのに役立ちます。
翻訳元: https://gbhackers.com/fake-helpdesk-attack/
