Cyberprzestępcy coraz częściej wykorzystują zaufane platformy w miejscu pracy do ominięcia kontroli bezpieczeństwa, a nowo odkryta kampania pokazuje, jak szybko mogą uzyskać dostęp do środowisk korporacyjnych.
Badacze z Jednostki Reagowania na Zagrożenia eSentire(TRU) niedawno zbadanewłamanie, którego celem jest organizacja sektora prawniczego. Napastnicy wykorzystali phishing głosowy w aplikacji Microsoft Teams, aby przekonać pracownika do udzielenia zdalnego dostępu za pomocą funkcji Windows Quick Assist.
Niecałe 20 minut później wdrożyli Nimbus RAT, trojana zdalnego dostępu opartego na Javie, którego zadaniem jest utrzymywanie długoterminowego dostępu do zaatakowanych systemów.
Atakujący zamieniają zaufane platformy biznesowe w punkty wejścia
Operacja przebiegała według starannie zorganizowanego łańcucha ataków. Napastnicy najpierw w krótkim czasie zalali skrzynkę odbiorczą ofiary ponad 280 legalnymi e-mailami subskrypcyjnymi. Fala wiadomości spowodowała zamieszanie i pilność, zwiększając prawdopodobieństwo, że ofiara zaufa kolejnemu kontaktowi podającemu się za wewnętrznego przedstawiciela IT.
Następnie fałszywy agent wsparcia skontaktował się z pracownikiem za pośrednictwem aplikacji Microsoft Teams i przeprowadził go przez szereg kroków. Ofiara uruchomiła Quick Assist i postępowała zgodnie z instrukcjami umieszczonymi w Pastebinie, co ostatecznie pozwoliło atakującym przejąć kontrolę nad urządzeniem.
Ostateczny pakiet złośliwego oprogramowania pochodził od zhakowanej dzierżawy platformy Microsoft 365 hostowanej w programie SharePoint. Korzystając z legalnych usług firmy Microsoft, osoby atakujące sprawiały, że pobieranie wyglądało na wiarygodne i zmniejszały prawdopodobieństwo wzbudzenia podejrzeń.
Badacze odkryli, że pobrane archiwum zawierało złośliwy plik Java dołączony do środowiska wykonawczego OpenJDK. Taka konfiguracja umożliwiła uruchomienie złośliwego oprogramowania na praktycznie każdym komputerze z systemem Windows, nawet jeśli Java nie była jeszcze zainstalowana.
Nimbus RAT kryje się za usługami Google
Nimbus RAT wyróżnia się tym, że unika tradycyjnej infrastruktury dowodzenia i kontroli. Zamiast tego komunikuje się za pośrednictwem Dysku Google i Arkuszy Google, dzięki czemu jego aktywność sieciowa wtapia się w normalny ruch korporacyjny.
Szkodnik pobiera instrukcje z plików przechowywanych na kontach Dysku Google kontrolowanych przez atakujących i przesyła skradzione informacje za pośrednictwem tych samych usług. Ponieważ wiele organizacji w dużym stopniu polega na ekosystemie chmurowym Google, blokowanie tego ruchu bez zakłócania operacji biznesowych może być trudne.
Badacze ustalili, że Nimbus RAT obsługuje szeroki zakres złośliwych funkcji, w tym wykonywanie poleceń, zarządzanie plikami, dostęp do rejestru, gromadzenie zrzutów ekranu i wdrażanie dodatkowych ładunków bezpośrednio do pamięci.
Szkodnik zawiera również dwa oddzielne mechanizmy kradzieży danych uwierzytelniających. Jedna z metod wyświetla fałszywy monit Zabezpieczeń systemu Windows, mający na celu nakłonienie użytkowników do wprowadzenia haseł. Drugi wykorzystuje interfejs API systemu Windows CredUIPromptForCredentialsW do zbierania poświadczeń bezpośrednio z systemu operacyjnego.
Według badaczy eSentire obie techniki mają na celu zebranie wielokrotnych haseł, co zwiększa szanse atakujących na uzyskanie prawidłowych danych uwierzytelniających.
Badacze zgłaszają wzrost liczby ataków zespołowych
Dane zebrane przez eSentire sugerują, że ta kampania jest raczej częścią szerszego trendu niż odosobnionym przypadkiem.
Firma zgłosiła obserwację 1540 podejrzanych interakcji w aplikacji Microsoft Teams w 172 organizacjach w okresie 12 miesięcy. Naukowcy odnotowali znaczny wzrost aktywności między grudniem 2025 r. a marcem 2026 r.
Kampanie phishingowe rozprzestrzeniają się na różnych platformach. Inny schemat totargetowanie użytkowników Facebookado kradzieży ich haseł, podkreślając różnorodne cele ataków socjotechnicznych.
Według raportu prawie 65 procent ataków pochodziło od jednorazowych dzierżawców platformy Microsoft 365 korzystających z domen onmicrosoft.com. Osoby atakujące często podszywały się pod personel wsparcia IT, zespoły pomocy technicznej lub wewnętrzny personel techniczny.
Analiza infrastruktury ujawniła powtarzające się wzorce, w tym szybkie rejestracje domen, wielokrotne korzystanie z zakresów adresów IP dostawców usług hostingowych oraz tworzenie najemców na dużą skalę w celu wspierania rozwoju kampanii. W kilku przypadkach napastnicy wykorzystali również zainfekowanych legalnych najemców, przez co próby phishingu wydają się jeszcze bardziej wiarygodne.
Badacze ostrzegli, że ugrupowania zagrażające wykorzystują obecnie zaufane platformy oprogramowania jako usługi w całym cyklu życia ataku. Microsoft Teams ułatwia pierwszy kontakt, SharePoint dostarcza złośliwe oprogramowanie, Pastebin udostępnia instrukcje, Quick Assist zapewnia zdalny dostęp, a Google Drive umożliwia operacje dowodzenia i kontroli.
Ponieważ organizacje nie mogą po prostu zablokować tych powszechnie używanych usług, obrońcy muszą skupić się na monitorowaniu zachowań i widoczności między warstwami. Badacze zalecają obserwowanie nietypowych skoków przychodzącego ruchu e-mailowego, podejrzanej aktywności Quick Assist, nieoczekiwanego wykonywania Java z niestandardowych katalogów i połączeń wychodzących z interfejsami API Google, które są zgodne z innymi wskaźnikami naruszenia bezpieczeństwa.