SOC Prime Bias: Élevé

29 Jun 2026 06:08 UTC

Campagne de phishing sur le thème de Microsoft Teams livre un accès à distance

Author Photo
SOC Prime Team linkedin icon Suivre
Campagne de phishing sur le thème de Microsoft Teams livre un accès à distance
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Une campagne de phishing active utilise des leurres sur le thème de Microsoft Teams pour distribuer des outils d’accès à distance légitimes afin d’accéder sans autorisation. Les victimes sont dirigées vers des pages de destination frauduleuses imitant des services de productivité pour télécharger des installateurs malveillants. L’opération utilise une stratégie d’infrastructure double impliquant à la fois des sites Web légitimes compromis et un hébergement dans le cloud contrôlé par l’attaquant.

Enquête

L’enquête a identifié une campagne multi-thématique utilisant l’ingénierie sociale pour favoriser le téléchargement de logiciels. Une analyse a révélé une infrastructure composée de sites Web de petites entreprises compromis et de services hébergés par Cloudflare. Les activités post-exécution incluent une intégration système approfondie via l’installation de services, l’enregistrement de packages d’authentification LSA et le détournement d’objets COM pour un accès persistant.

Atténuation

Les organisations devraient mettre en œuvre une MFA résistante au phishing et une liste blanche d’applications pour restreindre l’installation de logiciels non autorisés. Les équipes de sécurité doivent surveiller les créations inhabituelles de services Windows, les modifications du package d’authentification LSA et les changements du registre du mode sans échec. La formation à la sensibilisation des utilisateurs devrait se concentrer spécifiquement sur la vérification des notifications inattendues des plateformes de collaboration.

Réponse

Dès la détection, les organisations devraient isoler les terminaux affectés pour empêcher tout mouvement latéral supplémentaire. Effectuer un examen médico-légal pour identifier et supprimer tous les mécanismes de persistance, y compris les fournisseurs d’identifiants personnalisés et les objets COM. Un réinitialisation complète des identifiants pour tous les comptes utilisateurs impactés est fortement recommandée.

"flowchart TD step_initial_access["Accès initial : T1566.002 – Phishing : Lien de spearphishing via des notifications Microsoft Teams usurpées"] step_drive_by["T1189 – Compromission par passage via une page de destination frauduleuse incitant au téléchargement de l’installateur"] step_user_execution["Exécution par l’utilisateur : T1204.002 – Fichier malveillant ; implique des vérifications système (T1497.001) et l’exécution différée (T1678)"] step_execution_injection["T1055 – Injection de processus via l’enregistrement d’objets COM et l’utilisation d’outils d’accès à distance (T1219)"] rules_for_execution_injection("<b>Nom de la règle</b> : Commande et contrôle suspect par demande DNS de domaine de premier niveau (TLD) inhabituelle (via dns)<br/><b>ID de la règle</b> : eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Persistance : T1543.003 (Service Windows), T1547.002 (Démarrage/Autostart de connexion), et T1546.015 (Détournement COM)"] step_credential_access["Accès aux identifiants : T1556 – Modification du processus d’authentification pour intercepter les identifiants lors de la connexion"] step_initial_access –>|conduit à| step_drive_by step_drive_by –>|conduit à| step_user_execution step_user_execution –>|conduit à| step_execution_injection step_execution_injection –>|conduit à| step_persistence step_persistence –>|conduit à| step_credential_access step_execution_injection -.->|détecté par| rules_for_execution_injection "

Flux d’attaque

Exécution de Simulation

Prérequis : Le contrôle préalable de la télémétrie et de la base de référence doit avoir été réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçu pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narration de l’attaque et commandes : L’adversaire envoie un e-mail de phishing sur le thème de Microsoft Teams contenant un lien vers un .msi malveillant. Lorsque l’utilisateur exécute le package, msiexec.exe est invoqué avec des paramètres conçus pour installer une porte dérobée cachée. Pour assurer la persistance, l’installateur invoque rundll32.exe pour charger une DLL personnalisée qui enregistre un nouveau service système. La ligne de commande inclut spécifiquement la chaîne service pour imiter le comportement décrit dans le rapport d’intelligence sur les menaces, déclenchant ainsi la règle de détection.

  • Script de Test de Régression :

    # Script de simulation pour déclencher la règle de détection
    # Objectif : Exécuter msiexec ou rundll32 avec 'service' dans la ligne de commande
    
    Write-Host "[+] Démarrage de la simulation : Déclenchement de la détection de service MSI/Rundll32" -ForegroundColor Cyan
    
    # Scénario 1 : Déclenchement via msiexec.exe
    Write-Host "[+] Scénario 1 : Exécution de msiexec avec le mot-clé 'service'..." -ForegroundColor Yellow
    Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait
    
    # Scénario 2 : Déclenchement via rundll32.exe
    Write-Host "[+] Scénario 2 : Exécution de rundll32.exe avec le mot-clé 'service'..." -ForegroundColor Yellow
    Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait
    
    Write-Host "[+] Simulation terminée." -ForegroundColor Green
  • Commandes de Nettoyage :

    # Aucun changement permanent n'a été effectué par le script de simulation car il a utilisé les binaires système existants 
    # et des arguments non destructeurs. Aucun nettoyage requis.
    Write-Host "[+] Nettoyage : Aucun artefact créé." -ForegroundColor Cyan