概要

マイクロソフトのDetection and Response Team (DART)は、2025年11月に発生した重大な標的型攻撃について報告しました。この攻撃では、攻撃者はMicrosoft Teamsを悪用して社員に対してフィッシング攻撃を行い、Quick Assistを通じて企業ネットワークへの侵入に成功しました。

攻撃の手口

攻撃者は、内部ITサポートを装って社員と直接電話で連絡を取りました。最初の二名のターゲットはこの不審な行動に気付き、協力を拒否しましたが、三番目の従業員は詐欺に引っかかりました。攻撃者は、ユーザーがWindows Quick Assistアプリケーションを使用して彼らにリモートアクセスを許可したことを信じさせました。

マルウェアの実行とコマンド・アンド・コントロール

リモートアクセスを確立した後、攻撃者はキーボード操作によるハッキングに移行しました。彼らは被害者を悪意のあるウェブサイトへ誘導し、そこには偽のログインフォームがありました。ユーザーが社内資格情報を入力すると、複数のマルウェアペイロードがダウンロードされました。

攻撃者は、信頼されたWindowsプロセスを利用して悪意のあるDLLをサイドロードする偽装したMicrosoft Installer (MSI)パッケージを使用して、コマンド・アンド・コントロールの接続を確立しました。

拡散と制御

攻撃者は暗号化されたローダーを展開し、標準的な管理ツールを使用してリモートコマンドを実行することで迅速にアクセス範囲を広げました。プロキシベースの接続を利用してネットワークトラフィックを隠蔽しました。また、クレデンシャル収集とセッションハイジャック用の特別なコンポーネントを導入し、持続的なコントロールを確立しました。

対応と結果

DARTは迅速に対応し、攻撃の源を特定して被害を最小限に抑えるための措置を講じました。彼らは厳格な封じ込め制御を適用し、特権資産を保護し、側面移動を阻止しました。法医学的分析により、攻撃者のアクセス期間が短く、主要な目標達成に失敗したことが確認されました。

まとめ

この事件は、社会工学的手法の脅威と合法的なコラボレーションツールを悪用する攻撃者の巧妙さを示しています。

---

元記事: https://gbhackers.com/microsoft-teams-based-vishing-attack/