Microsoft alerte sur une montée des attaques ciblant la collaboration via Microsoft Teams. Des hackers usurpent l’identité du personnel des services informatiques ou d’assistance pour contacter des employés par le biais de discussions inter-entreprises, dans le but d’obtenir un accès à distance et de voler des données.
Ces cybercriminels exploitent divers logiciels de gestion à distance comme Quick Assist et Rclone pour transférer des fichiers vers des services de stockage dans le cloud. Cette méthode rend plus difficile la distinction entre les activités malveillantes et les opérations normales en raison de l’utilisation accrue d’applications légitimes et de protocoles administratifs standards.
Dans son analyse, Microsoft décrit un enchaînement d’attaques s’étalant sur plusieurs étapes. Le processus démarre par un contact extérieur via Teams, où l’attaquant se fait passer pour un membre de l’équipe informatique, affirmant devoir résoudre un problème de compte ou réaliser une mise à jour de sécurité.
Chaîne d’attaques en plusieurs étapes
Le but est de convaincre la victime de lancer une session de support à distance, généralement via Quick Assist, ce qui permet à l’attaquant de prendre le contrôle direct de l’ordinateur de l’employé.
Source : Microsoft
L’attaquant procède alors à une reconnaissance rapide à l’aide de Command Prompt et PowerShell, vérifiant ainsi les privilèges, l’affiliation au domaine et la connectivité réseau pour évaluer les possibilités de mouvement latéral.
Ensuite, il dépose un petit paquet malveillant dans des emplacements accessibles par l’utilisateur, comme ProgramData, et exécute le code malveillant par le biais d’une application de confiance signée (par exemple, Autodesk ou Adobe Acrobat) via un côté de chargement de DLL.
La communication basée sur HTTPS vers le point de commande et de contrôle (C2) s’intègre au trafic sortant normal, rendant la détection plus ardue.
Une fois l’infection établie et la persistance sécurisée par des modifications du Windows Registry, l’attaquant utilise Windows Remote Management (WinRM) pour se déplacer latéralement sur le réseau, ciblant les systèmes joints au domaine et des actifs stratégiques tels que les contrôleurs de domaine.
Des outils supplémentaires de gestion à distance sont ensuite déployés sur les systèmes accessibles, et Rclone ou des outils équivalents sont utilisés pour collecter et exfiltrer des données sensibles vers des points de stockage externe.
Source : Microsoft
Microsoft souligne que cette étape d’exfiltration est ciblée, utilisant des filtres pour se concentrer uniquement sur des informations précieuses, ce qui réduit le volume de transfert et améliore la furtivité opérationnelle.
L’entreprise insiste sur le fait que les utilisateurs doivent traiter les contacts extérieurs sur Teams comme non fiables par défaut et recommande aux administrateurs de restreindre ou de surveiller de près l’utilisation des outils d’assistance à distance, ainsi que de limiter l’utilisation de WinRM à des systèmes contrôlés.
Enfin, Microsoft attire l’attention sur les avertissements de sécurité de Teams, qui signalent explicitement les communications provenant de personnes externes à l’organisation et les tentatives potentielles de phishing.