Wanneer die hulptoonbank die bedreiging is

By Danny Bradbury • 28 Mei 2026 • 5 min lees

Ou sosiale manipulasie-aanvallers sterf nooit nie; hulle ontwikkel net en word beter. Hier is 'n storie van 'n aanvalsgroep wat vermetel genoeg is om infrastruktuur in die openbaar te laat kompromitteer, en raad oor wat om daaromtrent te doen.

Teen die einde van Mei 2024 het Microsoft 'n finansieel gemotiveerde kubermisdadigergroep wat hulle as Storm-1811 dophou, dopgehou wat hulle nie kon sien nie – hulle het by Teams aangemeld, hallo gesê en om hulp gevra.

Die wolk- en sagtewarereus se bedreigingsintelligensie-span het reeds gedokumenteer dieselfde operateurs wat die Quick Assist-afstandsondersteuningsinstrument sedert middel April daardie jaar misbruik het, maar die oorskakeling na Teams het hulle 'n nuwe voordeur gegee. Storm-1811, het Microsoft se ontleders geskryf, “is 'n finansieel gemotiveerde kubermisdadigergroep wat bekend is daarvoor dat hulle BlackBasta-ransomware ontplooi”, en die huurders wat hulle vir die operasie geregistreer het, het vertoonname gehad wat so generies was dat hulle ongemerk verbygegaan het: 'Help Desk', 'Help Desk IT', 'Help Desk Support', 'IT Support'.

Sedertdien het die patroon voortgeduur. Op 4 November verlede jaar het 'n eksterne gebruiker aangemeld by 'n kliëntomgewing onder die vertoonnaam "IT-ondersteuning", met die rekening mostafa.s@dhic.edu.eg. Binne agt-en-twintig minute het hulle 'n Quick Assist-skermdelingsessie teen 'n teiken geopen wat geglo het hy praat met kollegas.

Vyf maande later, in Maart vanjaar, het BlueVoyant gepubliseer die forensiese ondersoek na 'n verwante veldtog wat 'n voorheen ongedokumenteerde vrag genaamd A0Backdoor laat val en dit beoordeel het as "'n evolusie van taktieke, tegnieke en prosedures wat verband hou met die BlackBasta-ransomware-bende, wat ontbind het nadat die interne kletslogboeke van die operasie uitgelek is". Die bemanning het verander; die spelboek nie.

Dit is 'n voortdurende probleem. Teams het 'n vier jaar lange geskiedenis waar hulle toelaat dat nabootsers die vertrouensmodel van binne af buig. Check Point Research, in 'n onthulling wat van Maart 2024 tot die finale opdatering aan die einde van Oktober 2025 geloop het, gedokumenteer dat aanvallers geselsies stilweg kon oorskryf deur 'n kliëntboodskap-ID te hergebruik, kennisgewingsenders te vervals, vertoonname in privaat geselsies te verander, en oproeperidentiteite in oudio- en video-oproepe te vervals.

Wettige gereedskap in kriminele hande

Die rede waarom dit op skaal werk, is argitektonies, nie gedragsmatig nie. Byna elke komponent word goedgekeur. Quick Assist word standaard op Windows 11 gestuur en word geaktiveer deur 'n ses-syfer kode; die MSI-installeerders word digitaal onderteken en in persoonlike Microsoft-wolkberging gehuisves; die kwaadwillige hostfxr.dll laai homself in 'n wettige proses en dekripteer A0Backdoor slegs sodra dit in die geheue is, waar die meeste eindpuntinspeksies reeds hul werk voltooi het.

Selfs bevel-en-beheer versteek in die oopte: eerder as die TXT-rekord DNS-tunnels wat volwasse sekuriteitsbedryfsentrums geleer het om te vlag, kodeer A0Backdoor sy instruksies in DNS MX-navrae.

Tyd vir saamgevoegde bestuur

So, hoe lyk bestuur wanneer aanvallers jou eie werkvloei teen jou gebruik deur funksies te gebruik wat standaard aangeskakel is?

Nader ondersoek na hierdie kenmerke is die beginpunt, tesame met die deaktivering van kenmerke wat moontlik by verstek ingestel is. Sekuriteitspanne kan B2B-kletsuitnodigings weier deur die verstekwaarde in Set-CsTeamsMessagingPolicy om te keer. Hulle kan Quick Assist op 'n bekende ondersteuningswerkvloei baseer, terwyl Teams ChatCreated-gebeurtenisse as 'n eersteklas sein saam met eindpunt- en identiteitstelemetrie behandel word.

Maar dit is nie besluite wat onafhanklik geneem moet word nie. Hierdie aanvalle werk juis omdat geen enkele eienaar genoeg sien om op te tree nie. Die identiteitspan het geen sein in 'n ChatCreated-gebeurtenis wat dit nie verbruik nie, terwyl die SOC geen reël het vir 'n MX-navraag wat dit nooit ondersoek het nie. 'n Verenigde bestuursbenadering behels 'n verenigde end-tot-end-aansig van die maatskappy se werkvloeie wat dit gebruik.

'n Geïntegreerde bestuurstelsel (IMS) is die organiserende beginsel vir 'n end-tot-end-bestuurswerkvloei. Onder ISO 27001, byvoorbeeld, kan sekuriteits- en bestuurspanne eksterne kletsbeleid hersien onder die A.5.15-toegangsreëls. Organisasies kan lig werp op die DNS MX-kanaal deur te besluit om MX te monitor eerder as net TXT onder A.8.16 (moniteringsaktiwiteite). Daardie soort gekombineerde denke kan ChatCreated en MX-telemetrie op dieselfde ontleder se skerm laat beland.

Net so behoort die Quick Assist-skermdeling tot lessenaaringenieurswese onder A.8.2 (bevoorregte toegangsregte, insluitend afstandlessenaargereedskap). Die MFA-aanwysing wat dit omseil, val onder A.5.15 (IAM), terwyl die MSI-installasies sistematies gemonitor kan word onder A.8.19 (sagteware-installasie).

'n Gesamentlike begrip van hierdie risiko's baan ook die weg vir beter insidentrespons. As jy hierdie soort risiko in jou beheerraamwerk ingebou het, is dit makliker om 'n kompromie via samewerkingsagteware as 'n erkende scenario te hanteer en 'n handleiding hiervoor onder afdeling A.5.24 (insidentbestuurbeplanning en -voorbereiding) op te stel.

ISO 27001 is die logiese tuiste vir werk soos hierdie, want dit dwing identiteit, toegang en voorvalreaksie om binne een deurlopend geouditeerde stelsel te sit, eerder as drie stelle ontkoppelde beheereienaars. Dis presies die gaping waardeur Storm-1811 en sy opvolgers aanhoudend loop.