Koelman.IT

Stay Hungry, Stay Foolish 💡


KongTuke-hackers benutten Microsoft Teams voor bedrijfsinbraken

Hackers Gebruiken Microsoft Teams voor Inbraken bij Bedrijven

Cybercriminelen zetten steeds vaker Microsoft Teams in voor aanvallen. Een recente tactiek, ingezet door de initial access broker KongTuke, misleidt gebruikers om een PowerShell-commando in te voeren. Binnen vijf minuten krijgen ze zo toegang tot bedrijfsnetwerken.

De aanvallers verleiden medewerkers om kwaadaardige PowerShell-opdrachten uit te voeren, die de ModeloRAT-malware installeren. Deze strategie is eerder gezien in ClickFix-aanvallen. Brokers zoals KongTuke verkopen meestal netwerktoegang aan ransomware-operators, die vervolgens bestanden stelen of data versleutelen.

Werkwijze van de Aanval

Onderzoekers van ReliaQuest ontdekten dat KongTuke nu ook Microsoft Teams gebruikt, naast hun eerdere web-gebaseerde trucs zoals FileFix en CrashFix. Deze methode begint met een externe chat die snel leidt tot een blijvende toegang. Sinds april 2026 is deze campagne actief, waarbij de aanvallers schakeren tussen vijf Microsoft 365-accounts om blokkering te omzeilen.

Verdachte Technieken

De aanvaller doet zich voor als interne IT-ondersteuning, gebruikmakend van Unicode om namen legitiem te laten lijken. Via Teams wordt een schadelijk commando gedeeld dat een ZIP-bestand van Dropbox downloadt. Dit bestand bevat een WinPython-omgeving die de Python-gebaseerde malware ModeloRAT (Pmanager.py) start.

De malware verzamelt systeem- en gebruikersinformatie, maakt schermafbeeldingen en kan bestanden stelen. In deze recente aanvalsgolf zijn er verbeteringen waargenomen, zoals:

  1. Betere C2-architectuur: Meer veerkrachtige infrastructuur met vijf servers en automatische failover.
  2. Onafhankelijke toegangsroutes: Verschillende kanalen zoals een primaire RAT, reverse shell en TCP-backdoor op aparte infrastructuur.
  3. Uitgebreide persistentie: Via Run-sleutels, opstartkoppelingen, VBScripts en systeemtaken die schoonmaakprocedures kunnen overleven.

Verdedigingsmaatregelen

Om je te wapenen tegen Teams-initiatie aanvallen, wordt aangeraden om externe Teams-verbindingen te beperken met een allowlist. Beheerders kunnen ook gebruikmaken van indicatoren uit het ReliaQuest-rapport om aanvallen op te sporen.

Bijgewerkt inzicht in de activiteiten van deze bedreiger toont aan dat de persistentie van de ingeroepen taken niet wordt verwijderd door de zelfvernietigingsroutine van de malware. Ze blijven zelfs na herstarten van systemen actief, waardoor standaard reinigingsprocedures niet voldoende zijn.

Voor meer beschermingsmiddelen en indicatoren van aanvallen kun je het volledige rapport van ReliaQuest raadplegen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.