Изощренная фишинговая атака в Microsoft Teams использует Quick Assist для внедрения бэкдора A0Backdoor
Киберпреступники проводят целенаправленную атаку на сотрудников финансовых и медицинских организаций, злоупотребляя доверием к платформе Microsoft Teams. Специалисты компании BlueVoyant обнаружили, что злоумышленники, выдавая себя за внутреннюю ИТ-поддержку, устанавливают контакт через чаты Teams. Атака начинается с подготовительного этапа, когда почтовый ящик жертвы заполняется спамом. Затем атакующий предлагает в Teams помощь с «нежелательными сообщениями», чтобы вызвать доверие и расположить к себе сотрудника.
Добившись расположения, злоумышленник убеждает жертву запустить сеанс удаленной поддержки с помощью встроенного в Windows инструмента Quick Assist. Это предоставляет преступнику полный удаленный доступ к компьютеру. Основная цель — развертывание нового вредоносного ПО, названного «A0Backdoor». После получения контроля через Quick Assist на устройство внедряется злонамеренный набор инструментов.
Этот набор включает в себя цифрово подписанные MSI-пакеты, размещенные на личном облачном хранилище Microsoft для видимости легитимности. Файлы маскируются под компоненты Microsoft Teams и легитимную службу CrossDeviceService, используемую приложением Phone Link. Такая маскировка призвана обмануть как пользователей, так и системы безопасности на начальном этапе.
Для скрытного выполнения и сохранения в системе вредонос использует сложные техники. Методом DLL sideloading атакующие заставляют легитимные подписанные бинарники Microsoft загрузить вредоносную библиотеку `hostfxr.dll`. Эта библиотека содержит сжатые или зашифрованные данные полезной нагрузки. В памяти легитимного процесса данные расшифровываются в исполняемый шелл-код, что позволяет обходить традиционные файловые средства защиты.
Исследователи также отмечают, что вредоносная библиотека чрезмерно использует функцию `CreateThread`. Эта техника не только помогает в выполнении злонамеренных операций, но и служит мерой против анализа: создание множества потоков может привести к сбою инструментов отладки и серьезно затруднить реверс-инжиниринг. Данная кампания демонстрирует опасное сочетание социальной инженерии и технических методов уклонения от обнаружения.
