**Microsoft** warnt vor einem besorgniserregenden Trend: Bedrohungsakteure missbrauchen zunehmend externe **Microsoft Teams**-Kollaborationsfunktionen. Sie geben sich als IT- oder Helpdesk-Mitarbeiter aus und nutzen legitime Tools, um sich Zugang zu verschaffen und sich lateral innerhalb von Unternehmensnetzwerken zu bewegen. Diese Angreifer kontaktieren Mitarbeiter über plattformübergreifende Chats und geben sich als Support-Personal aus. Anschließend manipulieren sie Benutzer dazu, Fernzugriff zu gewähren, was letztendlich zu Datendiebstahl führt. Microsoft hat mehrere Einbrüche beobachtet, die einer ähnlichen Angriffskette folgten. Diese Angriffe beinhalten häufig kommerzielle Remote-Management-Software wie Quick Assist und das **Rclone**-Dienstprogramm zur Übertragung von Dateien an externe Cloud-Speicherdienste. Der Technologiegigant betont, dass die nachfolgenden bösartigen Aktivitäten aufgrund der starken Abhängigkeit von legitimen Anwendungen und nativen administrativen Protokollen oft schwer von normalen Vorgängen zu unterscheiden sind. „Bedrohungsakteure missbrauchen zunehmend externe **Microsoft Teams**-Kollaboration, um sich als IT- oder Helpdesk-Personal auszugeben und Benutzer davon zu überzeugen, Fernunterstützung zu gewähren“, erklärte Microsoft. „Von diesem anfänglichen Standbein aus können Angreifer vertrauenswürdige Tools und native administrative Protokolle nutzen, um sich lateral im Unternehmen zu bewegen und sensible Daten für die Exfiltration vorzubereiten – oft vermischt mit routinemäßiger IT-Support-Aktivität während des gesamten Einbruchszyklus“, fügte das Unternehmen hinzu. ### Mehrstufiger Angriff In einem aktuellen Bericht hat **Microsoft** eine neunstufige Angriffskette detailliert beschrieben. Sie beginnt damit, dass der Bedrohungsakteur das Ziel über einen externen **Teams**-Chat kontaktiert, sich als Mitglied des IT-Personals des Unternehmens ausgibt und behauptet, ein Problem mit dem Konto beheben oder ein Sicherheitsupdate durchführen zu müssen. Das ultimative Ziel ist es, das Ziel davon zu überzeugen, eine Fernsupport-Sitzung zu initiieren, typischerweise über Quick Assist, wodurch der Angreifer die direkte Kontrolle über den Computer des Mitarbeiters erhält.  Von dort aus führt der Angreifer schnelle Erkundungen mit der Eingabeaufforderung und PowerShell durch, bewertet Berechtigungen, Domänenmitgliedschaften und Netzwerkerreichbarkeit, um das Potenzial für laterale Bewegung zu beurteilen. Als Nächstes stellen sie ein kleines Payload-Bundle an schreibgeschützten Speicherorten wie ProgramData bereit. Sie führen den bösartigen Code über eine vertrauenswürdige, signierte Anwendung (z. B. **Autodesk**, **Adobe Acrobat/Reader**, Windows-Fehlerberichterstattung, Software zur Verhinderung von Datenverlust) mittels DLL-Side-Loading aus. Die auf HTTPS basierende Kommunikation zum Command-and-Control (C2)-Server, die auf diese Weise hergestellt wird, fügt sich nahtlos in den normalen ausgehenden Datenverkehr ein und erschwert die Erkennung. Nachdem die Infektion etabliert und die Persistenz durch Änderungen an der Windows-Registrierung gesichert ist, fährt der Angreifer fort, Windows Remote Management (WinRM) zu missbrauchen, um sich lateral im Netzwerk zu bewegen. Dies zielt auf Domänen-verbundene Systeme und hochwertige Assets wie Domänencontroller ab. Anschließend stellen sie zusätzliche Remote-Management-Softwaretools auf erreichbaren Systemen bereit und nutzen **Rclone** oder ähnliche Tools, um sensible Daten zu sammeln und zu externen Cloud-Speicherpunkten zu exfiltrieren.  Microsoft stellt fest, dass dieser Exfiltrationsschritt hochgradig gezielt ist und Filter verwendet, um sich ausschließlich auf wertvolle Informationen zu konzentrieren, das Übertragungsvolumen zu reduzieren und die operative Tarnung zu verbessern. Microsoft fordert Benutzer dringend auf, externe **Teams**-Kontakte standardmäßig als nicht vertrauenswürdig zu behandeln. Das Unternehmen empfiehlt außerdem, dass Administratoren Fernunterstützungstools einschränken oder genau überwachen und die WinRM-Nutzung auf kontrollierte Systeme beschränken. Darüber hinaus hebt das Unternehmen die **Teams**-Sicherheitswarnungen hervor, die explizit die Kommunikation von Personen außerhalb der Organisation und potenzielle Phishing-Versuche kennzeichnen.