Microsoft warnt Teams-Anwender:innen

Am Von In UP2DATE

This content is protected against AI scraping.

Es ist eine Kombination aus Social‑Engineering/Phishing (Impersonation via externer Teams‑Chats) plus ein gezielter Zugriff/Remote‑Takeover, gefolgt von Einsatz von legitimen Tools und Malware‑Komponenten für Persistenz (Zugriff bleibt auch nach Neustart erhalten), Laterales Bewegen in Netzwerken (Täter:innen bewegen sich im Netzwerk zu anderen Rechnern, die nach außen besser geschützt sind) und Datendiebstahl.

Schutzmöglichkeiten

  • Grundannahme: Externe Teams‑Kontakte sind standardmäßig als unzuverlässig zu behandeln.
  • Nie Fernzugriff erlauben, wenn die Anfrage unerwartet kommt. Helpdesk wanzt sich nicht heran.
  • Wachsamkeit der Nutzenden und Schulung hinsichtlich Social‑Engineering.

Zutaten für einen Helpdesk‑-Identitäts-Vortäuschungs-Angriff

  • Phishing / Social Engineering (Initialkontakt, Täuschung)
  • Remote‑Access (Missbrauch von Quick Assist oder Fernwartungssoftware)
  • File‑based Malware / Loader (kleine Payloads, DLL‑Side‑Loading)
  • Living‑off‑the‑Land (LOTL) — Nutzung legitimer Admin‑Tools (PowerShell, WinRM) und signierter Anwendungen
  • Data‑Exfiltration (Tools wie Rclone zum Abtransport des Diebesgutes)

Der Angriff benutzt Vertrauenskanäle (Teams‑Chat, Quick Assist) und legitime Windows‑Funktionen, daher ist er schwer von normalem Support‑Verhalten zu unterscheiden. Das Vorgehen der Angreifenden erfolgt gezielt: nur wertvolle Daten werden gesucht, Übertragungen werden klein gehalten, um nicht aufzufallen.

Der Angriff beginnt mit einem Kontakt per Teams, wobei sich Angreifende als Mitarbeitende Helpdesk-Mitarbeiter:innen ausgeben und eine Supportgeschichte auftischen und alles daran setzen, dass das Opfer eine Fernhilfe-Sitzung startet. Der Rest ist dann schnell erzählt und eher für Admins interessant:

  1. Fernzugriff erhalten – sieht alles noch ziemlich normal aus
  2. Opfer-PC auf Rechte und Verbindungen im Netzwerk prüfen
  3. Erste Untersuchung auf dem Opfer‑PC
  4. Schadsoftware platzieren und starten, getarnt durch legitime Programme & DLL-Sideloading
  5. Kommunikation mit den Angreifenden via HTTPS
  6. Persistenz herstellen und sich im Netzwerk ausbreiten
  7. Erweiterte Tools und Datenernte