**Microsoft** met en garde contre une tendance préoccupante : les acteurs malveillants abusent de plus en plus des fonctionnalités de collaboration externes de **Microsoft Teams**. Ils usurpent l'identité du personnel informatique ou d'assistance technique et utilisent des outils légitimes pour obtenir un accès et se déplacer latéralement au sein des réseaux d'entreprise. Ces attaquants contactent les employés via des conversations inter-locataires, se faisant passer pour du personnel de support. Ils manipulent ensuite les utilisateurs pour qu'ils fournissent une assistance à distance, ce qui conduit finalement au vol de données. Microsoft a observé plusieurs intrusions suivant une chaîne d'attaque similaire. Ces attaques impliquent fréquemment des logiciels de gestion à distance commerciaux, tels que Quick Assist, et l'utilitaire **Rclone** pour transférer des fichiers vers des services de stockage cloud externes. Le géant de la technologie souligne que l'activité malveillante subséquente est souvent difficile à distinguer des opérations normales en raison de la forte dépendance à l'égard des applications légitimes et des protocoles administratifs natifs. « Les acteurs malveillants abusent de plus en plus de la collaboration externe **Microsoft Teams** pour usurper l'identité du personnel informatique ou d'assistance technique et convaincre les utilisateurs d'accorder un accès à distance », a déclaré Microsoft. « À partir de ce point d'entrée initial, les attaquants peuvent exploiter des outils de confiance et des protocoles administratifs natifs pour se déplacer latéralement à travers l'entreprise et préparer des données sensibles à l'exfiltration, se fondant souvent dans l'activité de support informatique de routine tout au long du cycle de vie de l'intrusion », a ajouté l'entreprise. ### Attaque multi-étapes Dans un récent rapport, **Microsoft** a détaillé une chaîne d'attaque en neuf étapes. Elle commence par l'acteur malveillant contactant la cible via une conversation **Teams** externe, se faisant passer pour un membre du personnel informatique de l'entreprise et prétendant avoir besoin de résoudre un problème de compte ou d'effectuer une mise à jour de sécurité. L'objectif ultime est de persuader la cible d'initier une session de support à distance, généralement via Quick Assist, accordant ainsi à l'attaquant un contrôle direct sur la machine de l'employé.  À partir de là, l'attaquant effectue une reconnaissance rapide à l'aide de l'invite de commande et de PowerShell, évaluant les privilèges, l'appartenance au domaine et la portée du réseau pour évaluer le potentiel de mouvement latéral. Ensuite, ils déploient un petit paquet de **payload** dans des emplacements inscriptibles par l'utilisateur tels que ProgramData. Ils exécutent le code malveillant via une application de confiance et signée (par exemple, **Autodesk**, **Adobe Acrobat/Reader**, Windows Error Reporting, logiciel de prévention de la perte de données) via le chargement latéral de DLL. La communication basée sur HTTPS vers le serveur de commande et de contrôle (C2), établie de cette manière, se fond de manière transparente dans le trafic sortant normal, rendant la détection plus difficile. Une fois l'infection établie et la persistance sécurisée par des modifications du registre Windows, l'attaquant procède à l'abus de Windows Remote Management (WinRM) pour se déplacer latéralement sur le réseau. Cela cible les systèmes joints au domaine et les actifs de grande valeur tels que les contrôleurs de domaine. Ils déploient ensuite des outils de gestion à distance supplémentaires sur les systèmes accessibles et utilisent **Rclone** ou des outils similaires pour collecter et exfiltrer des données sensibles vers des points de stockage cloud externes.  Microsoft note que cette étape d'exfiltration est hautement ciblée, employant des filtres pour se concentrer exclusivement sur les informations précieuses, réduire le volume de transfert et améliorer la furtivité opérationnelle. Microsoft exhorte les utilisateurs à considérer les contacts externes **Teams** comme non fiables par défaut. L'entreprise recommande également aux administrateurs de restreindre ou de surveiller de près les outils d'assistance à distance et de limiter l'utilisation de WinRM aux systèmes contrôlés. De plus, l'entreprise met en évidence les avertissements de sécurité de **Teams** qui signalent explicitement les communications provenant de personnes extérieures à l'organisation et les tentatives de **phishing** potentielles.