SecBoard
Zurück zur Übersicht

Fake IT support calls on Microsoft Teams push EtherRAT malware

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Cyberkriminelle missbrauchen Microsoft Teams, indem sie sich als IT-Support ausgeben, um Mitarbeiter zur Installation der EtherRAT-Malware zu verleiten. Dies verschafft den Angreifern initialen Zugang zu Unternehmensnetzwerken. Unternehmen sollten ihre Mitarbeiter sensibilisieren und Sicherheitsprotokolle für eingehende Support-Anfragen über Teams überprüfen.

Kurzfassung

Cyberkriminelle missbrauchen Microsoft Teams, indem sie sich als IT-Support ausgeben, um Mitarbeiter zur Installation der EtherRAT-Malware zu verleiten. Dies verschafft den Angreifern initialen Zugang zu Unternehmensnetzwerken. Unternehmen sollten ihre Mitarbeiter sensibilisieren und Sicherheitsprotokolle für eingehende Support-Anfragen über Teams überprüfen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen, die Microsoft Teams nutzen und deren Mitarbeiter anfällig für Social Engineering sind.

Warum relevant

Der Angriff nutzt eine vertraute Kommunikationsplattform (Microsoft Teams) und Social Engineering, um initialen Zugang zu Unternehmensnetzwerken zu erhalten, was die Tür für weitere Angriffe öffnet.

Realistisches Worst Case

Erfolgreiche Installation von EtherRAT-Malware, die Angreifern initialen Zugang zum Unternehmensnetzwerk verschafft, potenziell gefolgt von Datenexfiltration oder weiteren Kompromittierungen.

Handlungsempfehlung

Mitarbeiter über die Taktiken der Angreifer aufklären und Sicherheitsprotokolle für Support-Anfragen über Teams überprüfen und verstärken.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre E-Mail-Filter und Endpoint Detection and Response (EDR)-Lösungen Warnungen für EtherRAT-Malware generieren würden.
  • Führen Sie eine Phishing-Simulation durch, die Social Engineering über Microsoft Teams imitiert, um die Sensibilität der Mitarbeiter zu testen.
  • Überprüfen Sie die Protokolle von Microsoft Teams auf ungewöhnliche Anrufe oder Dateifreigaben von externen oder unbekannten Quellen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighCyberkriminelle missbrauchen Microsoft Teams, indem sie sich als IT-Support ausgeben, um Mitarbeiter zur Installation der EtherRAT-Malware zu verleiten.
Initial AccessT1566.001 Phishing: Spearphishing AttachmentLownicht im Artikel spezifiziert, aber impliziert durch die Installation von Malware
ExecutionT1204 User ExecutionHighMitarbeiter zur Installation der EtherRAT-Malware zu verleiten.
ExecutionT1204.002 User Execution: Malicious FileHighMitarbeiter zur Installation der EtherRAT-Malware zu verleiten.
Offene Punkte
  • Der genaue Verbreitungsmechanismus der EtherRAT-Malware (z.B. über einen Link, eine angehängte Datei oder eine direkte Installation) ist nicht detailliert beschrieben.
  • Die spezifischen Funktionen oder Fähigkeiten der EtherRAT-Malware sind nicht im Artikel aufgeführt.
  • Es wird nicht erwähnt, ob bestimmte Branchen oder Regionen stärker betroffen sind.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (2 Techniken)

Themen
Security