В марте 2025 года исследователи ReliaQuest зафиксировали изощрённую фишинговую кампанию, в которой злоумышленники использовали Microsoft Teams для распространения уникального PowerShell-бэкдора. Атака напоминала тактику, присущую вымогателям Black Basta, и включала элементы социальной инженерии, ранее не встречавшиеся в реальных инцидентах.
Вход через Teams и Quick Assist
Атака начиналась с социальной инженерии в Microsoft Teams: злоумышленники выдавали себя за техподдержку и уговаривали сотрудников предоставить удалённый доступ через встроенный инструмент Quick Assist. После получения доступа они развертывали вредоносное ПО, маскируя действия под решение некой технической проблемы.
Целями кампании, по данным ReliaQuest, чаще становились женщины-руководители или сотрудники с "женски звучащими" именами, работающие в сферах финансов, науки и технических услуг. Интересно, что атаки проводились в промежутке между 14:00 и 15:00 по местному времени — период, который исследователи называют "дневным спадом" внимания.
Перехват библиотеки типов: редкий метод персистентности
После получения доступа злоумышленники использовали ранее не встречавшийся в «боевых» атаках метод сохранения доступа: перехват библиотеки типов Windows (TypeLib). Это позволяет при обращении к определённому COM-объекту запускать произвольный вредоносный код.
В данном случае целью стал объект, связанный с компонентами Internet Explorer — несмотря на устаревание браузера, Explorer.exe до сих пор обращается к этим объектам при старте системы. Такой подход позволял запускать вредоносный скрипт при каждом старте системы, не вызывая подозрений.
Метод подробно описывался ранее исследователем Михаилом Жмайло из команды CICADA8 (Центр инноваций МТС), а также обсуждался на форуме XSS, но вживую применён был впервые.
Уникальный PowerShell-бэкдор, маскировка и Telegram
Полезная нагрузка загружалась через Google Drive и сохранялась в виде текстового файла с примесью "мусорного" кода для обхода систем безопасности. Сам вредоносный код представлял собой PowerShell-бэкдор, обёрнутый в JScript.
JScript создавал файл C:\ProgramData\kcnxrx.ps1 и запускал его в скрытом режиме. После запуска бэкдор формировал C2-маяк, создавал объект WebClient и начинал бесконечный цикл: ждал команд или новых полезных нагрузок от сервера злоумышленника. Для подтверждения успешного выполнения скрипт использовал метод InstallProduct установщика Windows, чтобы отправить HTTP-запрос в Telegram-бот атакующего.
Интересно, что первая версия вредоноса была загружена в VirusTotal ещё в январе 2025 года — с C2-адресом на localhost, что говорит о тестировании функционала. Образец, обнаруженный "в дикой природе", был распознан как вредоносный только одним поставщиком безопасности.
Бэкдор также был связан с PowerShell-вредоносом Boxter, который ранее распространялся через фальшивые загрузки Microsoft Teams в рекламной сети Bing (инцидент был изучен специалистами Palo Alto Unit 42).
Признаки эволюции Storm-1811 или распада RaaS-групп
Хотя ReliaQuest не приписывает кампанию напрямую группе Storm-1811 (ранее связанной с Black Basta), в цепочке атаки заметны знакомые паттерны. Исследователи предполагают, что это может быть либо эволюция методов Storm-1811, либо признаки распада группы ransomware-as-a-service с дальнейшим перераспределением тактик и инфраструктуры.
Что всё это говорит о будущем фишинга?
Фишинг всё чаще выходит за рамки классической схемы "email + вредоносная ссылка". Мы видим многослойные атаки, использующие легитимные каналы коммуникации (Microsoft Teams), встроенные средства администрирования (Quick Assist), нестандартные методы сохранения доступа (TypeLib), и мессенджеры как каналы связи (Telegram).
Такие инциденты доказывают: зловреды не «взламывают» защиту — они обходят её, двигаясь по доверенным маршрутам внутри инфраструктуры.
Как бизнесу реагировать на такие угрозы
Для компаний это сигнал: бороться только с почтовым фишингом уже недостаточно. Необходима комплексная стратегия:
- повышение осознанности сотрудников;
- анализ поведения внутри сети;
- защита на уровне рабочих станций и браузеров;
- способность обнаруживать и блокировать фишинг до того, как произойдёт загрузка вредоносного кода или передача учётных данных.