KongTuke missbraucht Microsoft Teams für den Einstieg in Firmennetzwerke

Zusammenfassung

Der als Initial Access Broker (IAB) bekannte Akteur KongTuke setzt für seine Social-Engineering-Angriffe inzwischen auf Microsoft Teams und benötigt nach Angaben von ReliaQuest mitunter nur fünf Minuten, um sich dauerhaften Zugang zu Unternehmensnetzwerken zu verschaffen. Die Angreifer geben sich als IT- oder Helpdesk-Mitarbeiter aus und bringen Beschäftigte dazu, einen bösartigen PowerShell-Befehl auf ihren Systemen auszuführen. Dieser Befehl liefert letztlich die Schadsoftware ModeloRAT aus, die zuvor bereits in sogenannten ClickFix-Angriffen beobachtet wurde. Initial Access Broker wie KongTuke verkaufen üblicherweise den Zugang zu Firmennetzwerken an Ransomware-Betreiber weiter, die anschließend Schadsoftware zum Datendiebstahl und zur Verschlüsselung von Dateien einsetzen. Laut den Forschern von ReliaQuest handelt es sich um einen Taktikwechsel: Bislang stützte sich KongTuke ausschließlich auf webbasierte Köder unter den Bezeichnungen „FileFix" und „CrashFix". Die Nutzung von Teams ergänzt diesen Ansatz, ersetzt ihn aber nicht. Es ist das erste Mal, dass die Gruppe nach Beobachtung von ReliaQuest eine Kollaborationsplattform für den Erstzugriff verwendet.

Nach Darstellung von ReliaQuest reichte in den untersuchten Vorfällen ein einziger externer Teams-Chat aus, um den Angreifer von der ersten unaufgeforderten Kontaktaufnahme bis zu einem dauerhaften Standbein im Netzwerk zu bringen – in weniger als fünf Minuten.

Die Kampagne ist den Forschern zufolge mindestens seit April 2026 aktiv. Um Sperren zu umgehen, wechselt KongTuke zwischen fünf Microsoft-365-Mandanten. Damit die Angreifer als interner IT-Support durchgehen, setzen sie zudem auf Unicode-Tricks mit Leerzeichen, um den angezeigten Namen legitim erscheinen zu lassen.

Der über Teams übermittelte PowerShell-Befehl lädt ein ZIP-Archiv von Dropbox herunter. Dieses enthält eine portable WinPython-Umgebung, die schließlich die in Python geschriebene Schadsoftware ModeloRAT (Pmanager.py) startet. ModeloRAT sammelt System- und Benutzerinformationen, erstellt Bildschirmfotos und kann Dateien aus dem Dateisystem des befallenen Rechners abziehen.

ReliaQuest weist darauf hin, dass sich die in dieser jüngsten Kampagne eingesetzte Version von ModeloRAT gegenüber früheren Operationen weiterentwickelt hat, im Wesentlichen in drei Punkten. Bemerkenswert ist dabei, dass die Selbstzerstörungsroutine der Schadsoftware zwar die übrigen Persistenzmechanismen entfernt, eine eingerichtete geplante Aufgabe jedoch nicht löscht. Diese kann auch nach einem Neustart des Systems bestehen bleiben.

Zur Abwehr von über Teams initiierten Angriffen empfiehlt ReliaQuest, die externe Microsoft-Teams-Föderation über Positivlisten einzuschränken, um solche Kontaktversuche von vornherein zu blockieren. Darüber hinaus können Administratoren die im Bericht von ReliaQuest bereitgestellten Kompromittierungsindikatoren nutzen, um nach Angriffen, Anzeichen einer Kompromittierung und Persistenzartefakten zu suchen.

KongTuke missbraucht Microsoft Teams für den Einstieg in Firmennetzwerke

Ähnliche Artikel

Neueste Artikel