サイバー犯罪者は、従業員を標的とするために**Microsoft Teams**を悪用するケースが増加しており、ITおよびヘルプデスク担当者を装っています。ランサムウェアオペレーターにネットワークアクセスを販売することで知られる**KongTuke**は、組織内に迅速に足場を築くためにこの手法を採用しました。 ### 攻撃ベクトル この攻撃は、被害者に悪意のあるPowerShellコマンドを実行させることから始まり、これが「ModeloRAT」マルウェアをダウンロードして実行します。  *観測された攻撃で使用されたPowerShellコマンド。出典: ReliaQuest* **ReliaQuest**の研究者はこの戦術のシフトを観察しており、**KongTuke**が以前はWebベースの「FileFix」や「CrashFix」という餌に依存していたと指摘しています。**ReliaQuest**によると、「このTeamsでの活動は、Webベースのアプローチに取って代わるというよりは、それを補完するもののように見え、KongTukeが初期アクセスにコラボレーションプラットフォームを使用した最初の事例です。」とのことです。 ### キャンペーンの詳細 このキャンペーンは少なくとも2026年4月から活動しており、**KongTuke**は検出を回避するために5つの**Microsoft 365**テナントをローテーションさせています。内部ITサポートを装うために、攻撃者はUnicodeの空白文字トリックを使用して、表示名を正当に見せかけています。 悪意のあるPowerShellコマンドは、**Dropbox**からZIPアーカイブをダウンロードします。このアーカイブにはポータブルWinPython環境が含まれており、これがPythonベースのModeloRAT（Pmanager.py）を起動します。 ### ModeloRATの機能 このマルウェアは、システムおよびユーザー情報を収集し、スクリーンショットをキャプチャし、ファイルを外部に送信することができます。**ReliaQuest**は、このキャンペーンで使用されたModeloRATのバージョンにおけるいくつかの重要な進化を強調しています。 1. **回復力のあるC2アーキテクチャ:** 5台のサーバープール、自動フェイルオーバー、ランダム化されたURLパス、および自己更新機能。 2. **複数のアクセスパス:** プライマリRAT、リバースシェル、TCPバックドアが、別々のインフラストラクチャ上で実行されます。 3. **拡張された永続性:** Runキー、スタートアップショートカット、VBScriptランチャー、およびSYSTEMレベルのスケジュール済みタスク。  *永続的なスケジュール済みタスク。出典: ReliaQuest* 注目すべきは、スケジュール済みタスクは、インプラントの自己破壊ルーチンによって削除されず、システム再起動後も永続化を可能にすることです。 ### 緩和策 Teams経由の攻撃から防御するために、許可リストを使用して外部**Microsoft Teams**フェデレーションを制限することが推奨されます。これにより、初期の接触試行をブロックするのに役立ちます。管理者は、**ReliaQuest**のレポートで提供されている侵害の兆候（IOC）を活用して、侵害の兆候や永続化アーティファクトを積極的に検出する必要があります。 <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Mythosが発見したものの99%は未だパッチ適用されていません。</a></h2> <p>AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新たなエクスプロイトの波が到来します。</p> <p>Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように発見し、コントロールが有効であることを証明し、修復ループを閉じるかをご覧ください。</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">参加登録</a></p> </div> </div>