HackerangriffePhishingCyberkriminalität

Microsoft Teams als Angriffsziel: Hacker geben sich als IT-Support aus

Microsoft Teams als Angriffsziel: Hacker geben sich als IT-Support aus
Zusammenfassung

Microsofts Sicherheitswarnung offenbart eine beunruhigende Entwicklung in der Cyber-Kriminalität: Angreifer missbrauchen zunehmend Microsoft Teams, um sich als IT- oder Helpdesk-Mitarbeiter auszugeben und Unternehmensangestellte zu täuschen. Die Masche funktioniert über externe Cross-Tenant-Chats, in denen Hacker vorgeben, Kontoprobleme zu beheben oder Sicherheitsupdates durchzuführen. Ihr wahres Ziel ist es, die Opfer zur Gewährung von Remote-Zugriff zu bewegen – eine kritische Sicherheitslücke, die anschließend für Datenverluste ausgenutzt wird. Besonders perfide: Die Angreifer verwenden bei ihren weiteren Aktivitäten legitime Tools wie Quick Assist und Rclone sowie native Windows-Verwaltungsprotokolle, wodurch ihre Aktionen kaum von normalen IT-Operationen zu unterscheiden sind. Für deutsche Unternehmen und Behörden stellt diese Angriffsmethode eine ernsthafte Bedrohung dar, da sie auf etablierte Kommunikationskanäle abstellt, auf die sich Mitarbeiter normalerweise verlassen. Die hohe Erfolgsquote dieser Social-Engineering-Kampagnen unterstreicht die Notwendigkeit verstärkter Awareness-Schulungen sowie strengerer Kontrollmechanismen bei Remote-Zugriffswerkzeugen und administrativen Protokollen wie Windows Remote Management.

Microsoft hat eine umfangreiche Warnung vor einer wachsenden Angriffswelle ausgegeben, bei der Cyberkriminelle gezielt Microsoft Teams ausnutzen, um in Unternehmensnetze einzudringen. Das Angriffsschema ist dabei überraschend einfach, aber effektiv: Hacker nehmen über externe Teams-Chats Kontakt mit Mitarbeitern auf und geben sich als Mitglieder der IT-Abteilung aus.

Die Angreifer behaupten, ein Kontoproblem beheben oder ein Sicherheitsupdate durchführen zu müssen. Ihr Ziel ist es, das Opfer dazu zu bringen, eine Remote-Support-Sitzung zu starten – meistens über Quick Assist. Dieses Windows-Tool gibt ihnen sofortigen Zugriff auf den Computer des Mitarbeiters und damit den Fuß in der Tür.

Microsoft beschreibt eine neun-teilige Angriffskette, die nach dem initialen Fernzugriff wie folgt abläuft: Der Angreifer führt zunächst Aufklärungsmission durch, nutzt Eingabeaufforderung und PowerShell, um Berechtigungen, Domänenzugehörigkeit und Netzwerkverbindungen zu überprüfen. Danach folgt der nächste kritische Schritt – das Einschleusen von Malware-Code in beschreibbare Verzeichnisse wie ProgramData.

Besonders tückisch: Die Malware wird nicht direkt ausgeführt, sondern durch DLL-Seitenladen über vertrauenswürdige, von Microsoft signierte Anwendungen wie Adobe, Autodesk oder Windows Error Reporting aktiviert. Dies ist der Schlüssel zur Tarnung – die verdächtige Kommunikation mit dem Command-and-Control-Server läuft über HTTPS und verschmilzt mit normalem Netzwerkverkehr.

Mit dieser etablierten Infektion sichern sich die Angreifer Persistenz durch Änderungen in der Windows-Registry. Dann beginnt die horizontale Ausbreitung: Sie missbrauchen Windows Remote Management (WinRM), um sich im Netzwerk auszubreiten und hochwertige Ziele wie Domain Controller anzusteuern.

Zum Abschluss installierten sie zusätzliche Remote-Management-Tools und nutzen Rclone oder ähnliche Utilities, um gezielt wertvolle Daten zu sammeln und auf externe Cloud-Speicher zu übertragen – eine raffinierte Methode, die den Datenverkehr minimiert und schwerer zu erkennen ist.

Microsoft empfiehlt Unternehmen dringend, externe Teams-Kontakte standardmäßig als unsicher einzustufen, Remote-Assistance-Tools eng zu überwachen oder zu beschränken und die Nutzung von WinRM auf kontrollierte Systeme zu limitieren. Auch die in Teams eingebauten Sicherheitswarnungen, die externe Kontakte und potenzielle Phishing-Versuche markieren, sollten von Mitarbeitern ernst genommen werden.

Ähnliche Artikel