Geschickter Angriff nimmt Nutzer von Microsoft Teams ins Visier

Kriminelle haben eine neue Angriffskampagne gestartet, bei der sie gezielt Nutzer von Microsoft Teams kontaktieren. Dabei wird versucht, diese User dazu zu bringen, selbst Remote-Zugriff auf ihre Computer zu gewähren.

Ziel: Backdoor-Installation

Bei diesen Attacken nehmen die Angreifer aktuell vor allem Mitarbeitende in der Finanz- und Gesundheitsbranche ins Visier. Sicherheitsforscher berichten, dass sie bei einem Erfolg anschließend eine bislang wenig bekannte Schadsoftware namens "A0Backdoor" auf den nun zugänglichen Rechnern installieren.

Nach Angaben des Cybersecurity-Unternehmens BlueVoyant basiert der Angriff vor allem auf Social Engineering. Die Täter beginnen ihre Attacke, indem sie die Postfächer von Mitarbeitenden mit Spam-Mails überfluten. Kurz darauf melden sie sich über Microsoft Teams und geben sich als interne IT-Mitarbeiter aus. Sie bieten Hilfe an, um das vermeintliche Spam-Problem zu lösen und gewinnen so das Vertrauen der Betroffenen.


Im nächsten Schritt fordern die Angreifer die Mitarbeitenden auf, eine Fernwartungssitzung mit dem Windows-Tool Quick Assist zu starten. Über diese legitime Fernzugriffssoftware können die Täter Zugriff auf den Rechner erhalten und eine Reihe manipulierter Installationsdateien aufspielen. Diese MSI-Installer sind digital signiert und werden aus einem persönlichen Cloud-Speicher bei Microsoft heruntergeladen, wodurch sie zunächst vertrauenswürdig erscheinen.

Die Installationspakete tarnen sich laut BlueVoyant als Komponenten von Microsoft Teams oder als "CrossDeviceService", ein legitimer Bestandteil von Windows, der von der App Phone Link genutzt wird. Anschließend nutzen die Angreifer eine Technik namens DLL-Sideloading: Eine manipulierte Bibliothek wird gemeinsam mit echten Microsoft-Programmen geladen. Diese Bibliothek enthält verschlüsselte Daten, die im Arbeitsspeicher entschlüsselt und als ausführbarer Code gestartet werden.

Verbindung zu BlackBasta?

Die Schadsoftware erzeugt zudem zahlreiche zusätzliche Threads im System. Diese ungewöhnlich hohe Zahl paralleler Prozesse soll Analysewerkzeuge zum Absturz bringen und die Untersuchung des Angriffs erschweren. Nachdem der Schadcode aktiv ist, prüft er zunächst, ob er in einer Sicherheits-Sandbox läuft. Danach wird die eigentliche A0Backdoor aus verschlüsselten Daten extrahiert und gestartet. Die Malware sammelt Informationen über den Rechner, etwa Benutzer- und Gerätenamen, um das Zielsystem eindeutig zu identifizieren.

Die Kommunikation mit den Kontrollservern erfolgt über manipulierten DNS-Verkehr. Dabei versteckt die Schadsoftware Befehle in DNS-MX-Anfragen, wodurch der Datenaustausch unauffälliger wirkt und viele Sicherheitskontrollen umgehen kann. Die Experten vermuten bei dem Angriff mit mittlerer bis hoher Wahrscheinlichkeit eine Verbindung zur Ransomware-Gruppe BlackBasta. Zwar überschneiden sich einige Methoden mit früheren Angriffen der Gruppe, doch die Kombination aus signierten Installern, der neuen A0Backdoor und der DNS-basierten Steuerung gilt als neue Entwicklung.


Siehe auch: