SOC Prime Bias: Hoch

29 Jun 2026 06:08 UTC

Microsoft Teams-Themen-Phishing-Kampagne liefert Remote-Zugriff

Author Photo
SOC Prime Team linkedin icon Folgen
Microsoft Teams-Themen-Phishing-Kampagne liefert Remote-Zugriff
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine aktive Phishing-Kampagne nutzt Microsoft-Teams-Themen, um legitime Remote-Zugriffswerkzeuge für unbefugten Zugriff zu verteilen. Opfer werden auf betrügerische Zielseiten geleitet, die Produktivitätsdienste imitieren, um bösartige Installer herunterzuladen. Die Operation verwendet eine Doppel-Infrastrukturstrategie, die sowohl kompromittierte legitime Websites als auch von Angreifern kontrollierte Cloud-Hosts umfasst.

Untersuchung

Die Untersuchung identifizierte eine Kampagne mit mehreren Themen, die Social Engineering nutzt, um Softwaredownloads zu forcieren. Analysen zeigten eine Infrastruktur, die aus kompromittierten kleinen Unternehmenswebsites und dedizierten Cloudflare-gehosteten Diensten besteht. Aktivitäten nach der Ausführung umfassen tiefgehende Systemintegration durch Serviceinstallation, LSA-Authentifizierungspaket-Registrierung und COM-Objekt-Entführung für dauerhaften Zugriff.

Minderung

Organisationen sollten phishing-resistente MFA und Anwendung-Whitelisting implementieren, um unbefugte Softwareinstallation zu verhindern. Sicherheitsteams sollten auf ungewöhnliche Erstellungen von Windows-Diensten, Änderungen von LSA-Authentifizierungspaketen und SafeMode-Registrierungsänderungen achten. Benutzerschulungen sollten sich speziell auf die Überprüfung unerwarteter Benachrichtigungen von Kollaborationsplattformen konzentrieren.

Reaktion

Nach der Erkennung sollten Organisationen betroffene Endpunkte isolieren, um weitere laterale Bewegungen zu verhindern. Eine forensische Überprüfung sollte durchgeführt werden, um alle Persistenzmechanismen, einschließlich benutzerdefinierter Authentifizierungsanbieter und COM-Objekte, zu identifizieren und zu entfernen. Ein umfassender Passwort-Reset für alle betroffenen Benutzerkonten wird dringend empfohlen.

"flowchart TD step_initial_access["Initial Access: T1566.002 u2013 Phishing: Spearphishing-Link über imitierte Microsoft-Teams-Benachrichtigungen"] step_drive_by["T1189 u2013 Drive-by-Komprimierung über betrügerische Zielseite, die den Installer-Download fordert"] step_user_execution["Benutzerausführung: T1204.002 u2013 Bösartige Datei; umfasst Systemüberprüfungen (T1497.001) und verzögerte Ausführung (T1678)"] step_execution_injection["T1055 u2013 Prozessinjektion über COM-Objektregistrierung und Nutzung von Remote Access Tools (T1219)"] rules_for_execution_injection("<b>Regelname</b>: Verdächtige Befehls- und Kontrollaktivitäten durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via dns)<br/><b>Regel-ID</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Persistenz: T1543.003 (Windows-Dienst), T1547.002 (Boot/Logon Autostart) und T1546.015 (COM-Entführung)"] step_credential_access["Anmeldeinformationen-Zugang: T1556 u2013 Modifizierung des Authentifizierungsprozesses zum Abfangen von Anmeldeinformationen beim Login"] step_initial_access –>|führt zu| step_drive_by step_drive_by –>|führt zu| step_user_execution step_user_execution –>|führt zu| step_execution_injection step_execution_injection –>|führt zu| step_persistence step_persistence –>|führt zu| step_credential_access step_execution_injection -.->|erkannt von| rules_for_execution_injection "

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- und Baseline-Vorab-Prüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle: Der Angreifer liefert eine Microsoft-Teams-Themen-Phishing-E-Mail mit einem Link zu einer bösartigen .msi -Paket. Wenn der Benutzer das Paket ausführt, wird msiexec.exe mit Parametern aufgerufen, die darauf abzielen, eine versteckte Hintertür zu installieren. Um Persistenz zu erreichen, ruft der Installer is invoked with parameters designed to install a hidden backdoor. To achieve persistence, the installer invokes rundll32.exe auf, um eine benutzerdefinierte DLL zu laden, die einen neuen Systemdienst registriert. Die Befehlszeile enthält speziell den String Dienst um das im Bedrohungsinformationsbericht beschriebene Verhalten zu imitieren und somit die Erkennungsregel auszulösen.

  • Regressionstest-Skript:

    # Simulationskript, um die Erkennungsregel auszulösen
    # Ziel: Ausführen von msiexec oder rundll32 mit 'service' in der Befehlszeile
    
    Write-Host "[+] Simulation startet: MSI/Rundll32-Service-Erkennung auslösen" -ForegroundColor Cyan
    
    # Szenario 1: Auslöser über msiexec.exe
    Write-Host "[+] Szenario 1: Ausführen von msiexec mit 'service'-Schlüsselwort..." -ForegroundColor Yellow
    Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait
    
    # Szenario 2: Auslöser über rundll32.exe
    Write-Host "[+] Szenario 2: Ausführen von rundll32.exe mit 'service'-Schlüsselwort..." -ForegroundColor Yellow
    Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait
    
    Write-Host "[+] Simulation abgeschlossen." -ForegroundColor Green
  • Bereinigungskommandos:

    # Keine dauerhaften Änderungen wurden durch das Simulationsskript vorgenommen, da es bestehende Systembinärdateien 
    # und nicht-destruktive Argumente nutzte. Keine Bereinigung erforderlich.
    Write-Host "[+] Bereinigung: Keine Artefakte erstellt." -ForegroundColor Cyan