Cyberkriminelle nutzen zunehmend **Microsoft Teams**, um Mitarbeiter ins Visier zu nehmen, indem sie sich als IT- und Helpdesk-Mitarbeiter ausgeben. **KongTuke**, bekannt für den Verkauf von Netzwerkzugängen an Ransomware-Betreiber, hat diese Methode übernommen, um sich schnell in Organisationen einzunisten. ### Der Angriffsvektor Der Angriff beinhaltet die Überzeugung von Opfern, einen bösartigen PowerShell-Befehl auszuführen, der die "ModeloRAT"-Malware herunterlädt und ausführt.  *Der in den beobachteten Angriffen verwendete PowerShell-Befehl. Quelle: ReliaQuest* Forscher von **ReliaQuest** haben diese Taktikänderung beobachtet und festgestellt, dass **KongTuke** zuvor auf webbasierte "FileFix"- und "CrashFix"-Köder setzte. Laut **ReliaQuest** "markiert diese Teams-Aktivität, die den webbasierten Ansatz ergänzt und nicht ersetzt, das erste Mal, dass wir KongTuke eine Kollaborationsplattform für den initialen Zugriff nutzen sehen." ### Kampagnendetails Die Kampagne ist seit mindestens April 2026 aktiv, wobei **KongTuke** fünf **Microsoft 365**-Tenants rotierte, um der Erkennung zu entgehen. Um die interne IT-Unterstützung zu imitieren, verwendet der Angreifer Unicode-Leerzeichen-Tricks, um den Anzeigenamen legitim erscheinen zu lassen. Der bösartige PowerShell-Befehl lädt ein ZIP-Archiv von **Dropbox** herunter, das eine portable WinPython-Umgebung enthält, welche dann die Python-basierte ModeloRAT (Pmanager.py) startet. ### ModeloRAT-Fähigkeiten Die Malware sammelt System- und Benutzerinformationen, nimmt Screenshots auf und kann Dateien exfiltrieren. **ReliaQuest** hebt mehrere wichtige Entwicklungen in der für diese Kampagne verwendeten ModeloRAT-Version hervor: 1. **Resiliente C2-Architektur:** Ein Pool von fünf Servern, automatische Failover, zufällige URL-Pfade und Selbstaktualisierungsfähigkeit. 2. **Mehrere Zugriffspfade:** Eine primäre RAT, eine Reverse Shell und eine TCP-Backdoor, die auf separater Infrastruktur laufen. 3. **Erweiterte Persistenz:** Run-Schlüssel, Startup-Verknüpfungen, VBScript-Launcher und geplante Aufgaben auf SYSTEM-Ebene.  *Die persistente geplante Aufgabe. Quelle: ReliaQuest* Bemerkenswerterweise wird die geplante Aufgabe nicht durch die Selbstzerstörungsroutine des Implantats entfernt, was ihm ermöglicht, Systemneustarts zu überdauern. ### Abhilfestrategien Zur Abwehr von Teams-initiierten Angriffen wird empfohlen, die externe **Microsoft Teams**-Föderation mithilfe von Whitelists einzuschränken. Dies kann helfen, erste Kontaktversuche zu blockieren. Administratoren sollten auch die in **ReliaQuest's** Bericht bereitgestellten Indikatoren für Kompromittierung (IOCs) nutzen, um proaktiv nach Anzeichen von Kompromittierung und Persistenzartefakten zu suchen. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.</a></h2> <p>KI hat vier 0-days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor.</p> <p>Auf dem Autonomous Validation Summit (12. &amp; 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, die Wirksamkeit von Kontrollen beweist und den Remediation-Loop schließt.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Sichern Sie sich Ihren Platz</a></p> </div> </div>