Содержание
Пользователей Microsoft Teams атакуют новой фишинговой схемой: злоумышленники сначала засыпают почту спамом, а затем под видом IT-поддержки уговаривают открыть удалённый доступ через Quick Assist. После этого на ПК ставят A0Backdoor, который даёт захват учётной записи и удалённое выполнение команд.
Сценарий описали исследователи BlueVoyant. Они отмечают, что ключевой крючок здесь не письмо и не ссылка, а «помощь» от якобы корпоративного техника, который «разрулит» внезапно возникшую проблему со спамом.
Как работает схема со спам-флудом и поддельной поддержкой
Атака начинается с банального, но неприятного шага: жертве массово отправляют спам, чтобы создать ощущение реальной аварии и перегрузить внимание. Почта забивается, человек отвлекается, а команда начинает искать причину.
Дальше злоумышленники выходят на контакт и представляются сотрудником IT-поддержки. Они объясняют, что «видят проблему» и готовы быстро помочь. Следующий шаг — просьба запустить сеанс Quick Assist, штатного инструмента Windows для удалённой помощи.
После того как пользователь подтверждает сессию, атакующие получают временный интерактивный доступ к компьютеру. Под предлогом «настройки защиты от спама» они разворачивают на машине A0Backdoor.
Что умеет A0Backdoor и почему это опаснее обычного фишинга
По описанию исследователей, A0Backdoor маскируется под компоненты Microsoft Teams и службу CrossDeviceService. Для запуска используют технику DLL sideloading — когда легитимное приложение подхватывает подложенную библиотеку.
Итог для компании самый неприятный: злоумышленники получают полный захват аккаунта и возможности remote code execution (RCE). Это значит, что они могут запускать команды и скрипты, докачивать и исполнять дополнительное вредоносное ПО, красть данные, двигаться по сети дальше и закрепляться надолго.
В таких кейсах Teams выступает не «дырой», а удобной ширмой. Пользователь верит, что общается с внутренней поддержкой, и сам открывает дверь.
Кого уже задело и с кем связывают активность
По данным наблюдений, подтверждены как минимум две жертвы: финансовая организация в Канаде и глобальная медицинская организация. Названия компаний не раскрывают, и публичных заявлений от атакующих тоже нет.
Атрибуция остаётся сложной. При этом профиль активности, по оценке Cybersecurity News, пересекается с тактиками группы Blitz Brigantine, также известной как Storm-1811. Этот актор финансово мотивирован, а ранее Microsoft связывала его с Black Basta.
Сама Black Basta была одной из самых заметных ransomware-групп, но, по имеющимся данным, фактически прекратила активность и ушла в тишину в начале 2025 года.
Источники: BlueVoyant
Дополнительные технические детали по наблюдаемой кампании: BleepingComputer
