**Microsoft**は、懸念すべき傾向について警告しています。それは、攻撃者が外部の**Microsoft Teams**コラボレーション機能をますます悪用していることです。彼らはITまたはヘルプデスク担当者を装い、正規のツールを利用してアクセス権を取得し、企業ネットワーク内をラテラルムーブメントしています。 これらの攻撃者は、サポート担当者を装ってクロステナントチャットを通じて従業員に連絡を取ります。その後、ユーザーを操作してリモートアクセス権限を付与させ、最終的にデータの窃盗につながります。 Microsoftは、類似した攻撃チェーンに続く複数の侵入を観測しています。これらの攻撃では、Quick Assistのような商用リモート管理ソフトウェアや、**Rclone**ユーティリティを使用して外部クラウドストレージサービスにファイルを転送することが頻繁に行われています。 このテクノロジー大手は、正規のアプリケーションやネイティブ管理プロトコルへの高い依存度により、その後の悪意のあるアクティビティが通常の操作と区別することが困難であることが多いと強調しています。 「攻撃者は、ITまたはヘルプデスク担当者を装って外部の**Microsoft Teams**コラボレーションをますます悪用し、ユーザーにリモートアシスタンスアクセスを付与するように説得しています」とMicrosoftは述べています。 「この初期の足がかりから、攻撃者は信頼されたツールとネイティブ管理プロトコルを利用して、企業全体をラテラルムーブメントし、機密データを持ち出しのために準備することができます。侵入ライフサイクル全体を通じて、通常のITサポート活動に紛れ込むことがよくあります」と同社は付け加えています。 ### マルチステージ攻撃 最近のレポートで、**Microsoft**は9段階の攻撃チェーンを詳細に説明しました。これは、攻撃者が会社のITスタッフのメンバーを装い、アカウントの問題に対処する必要があるか、セキュリティアップデートを実行する必要があると主張して、外部の**Teams**チャットを通じてターゲットに連絡することから始まります。 最終的な目標は、ターゲットを説得して、通常はQuick Assistを介したリモートサポートセッションを開始させ、攻撃者に従業員のマシンへの直接制御を付与することです。  そこから、攻撃者はコマンドプロンプトとPowerShellを使用して迅速な偵察を行い、権限、ドメインメンバーシップ、およびネットワーク到達可能性を評価して、ラテラルムーブメントの可能性を評価します。 次に、ProgramDataのようなユーザー書き込み可能な場所に小さなペイロードバンドルを展開します。DLLサイドローディングを介して、信頼された署名付きアプリケーション（例：**Autodesk**、**Adobe Acrobat/Reader**、Windows Error Reporting、データ損失防止ソフトウェア）を通じて悪意のあるコードを実行します。 このように確立されたコマンドアンドコントロール（C2）サーバーへのHTTPSベースの通信は、通常の送信トラフィックにシームレスに溶け込み、検出をより困難にします。 感染が確立され、Windowsレジストリの変更を通じて永続性が確保されると、攻撃者はWindowsリモート管理（WinRM）を悪用してネットワーク全体をラテラルムーブメントします。これは、ドメイン参加システムやドメインコントローラーのような高価値資産を標的とします。 次に、到達可能なシステムにさらにリモート管理ソフトウェアツールを展開し、**Rclone**または類似のツールを使用して機密データを収集し、外部クラウドストレージポイントに流出させます。  Microsoftは、この流出ステップは高度に標的化されており、フィルタリングを使用して貴重な情報のみに焦点を当て、転送量を削減し、運用上のステルス性を向上させていると指摘しています。 Microsoftは、ユーザーに外部の**Teams**連絡先をデフォルトで信頼しないように求めています。同社はまた、管理者がリモートアシスタンスツールを制限または厳密に監視し、WinRMの使用を制御されたシステムに限定することを推奨しています。 さらに、同社は、組織外の個人からの通信や潜在的なフィッシング攻撃を明確にフラグ付けする**Teams**のセキュリティ警告を強調しています。