Серверы Microsoft Teams использовались в атаке программы-вымогателя

Что произошло

Мир кибербезопасности вновь взбудоражен новостью, которая в очередной раз демонстрирует, насколько изобретательными и дерзкими могут быть злоумышленники. Группировка программ-вымогателей, известная как DragonForce, применила в своих последних атаках нетрадиционный метод, злоупотребив серверной инфраструктурой Microsoft Teams. Это событие показывает, что киберпреступники теперь не просто проникают в системы, но и превращают в оружие те цифровые инструменты коммуникации, которым мы доверяем больше всего. Инцидент стал достоянием общественности 17 июня 2026 года благодаря отчетам фирм по кибербезопасности.

Суть произошедшего в следующем: злоумышленники использовали инфраструктуру, которую миллионы людей обычно используют для видеоконференций и обмена сообщениями, в качестве прикрытия для сокрытия и передачи своих команд внутри скомпрометированной сети. Это кошмарный сценарий для программного обеспечения безопасности. В обычных условиях межсетевой экран или антивирусная программа помечают трафик, идущий на собственные серверы Microsoft, как «безопасный» и «легитимный». Злоумышленники эксплуатируют именно это доверие. В терминологии кибербезопасности этот метод называется «Living Off the Land» (LOTL), или «жизнь за счет земли». Преступники используют легитимные инструменты и сервисы, уже имеющиеся в целевой системе, чтобы скрыть свое присутствие. Это позволяет им оставлять меньше следов и значительно усложняет их обнаружение.

Какие данные были скомпрометированы

На данный момент нет четкой информации о том, какие именно данные были украдены или зашифрованы в ходе этой атаки. Личность пострадавшей организации также пока держится в секрете. Однако, анализируя общий modus operandi группировок-вымогателей, таких как DragonForce, мы знаем, что их целью обычно является ценная информация. В таких атаках преступники сначала шифруют критически важные файлы, чтобы остановить операции компании. Затем, чтобы усилить давление с целью выплаты выкупа, они угрожают опубликовать конфиденциальные данные, которые они украли перед шифрованием. К таким данным часто относятся:

• Информация о клиентах (имена, адреса, контактные данные)
• Личные данные сотрудников
• Финансовые отчеты, балансы и данные банковских счетов
• Интеллектуальная собственность, коммерческие тайны и чертежи продукции
• Стратегические документы, такие как протоколы заседаний совета директоров

Судьба данных обычно зависит от того, заплатит ли компания-жертва выкуп, и от милости злоумышленников. Часто, даже если выкуп уплачен, нет гарантии, что данные будут возвращены или не будут опубликованы.

Как произошла атака

Технические детали атаки еще не до конца ясны, особенно остается невыясненным, как злоумышленники изначально проникли в сеть. Однако самая поразительная часть — это то, что они сделали после проникновения. Согласно отчетам, DragonForce использовали ретрансляционные серверы (relay servers) Microsoft Teams в качестве командно-контрольного центра (C2 или C&C).

Что это значит? Вредоносное ПО, проникшее в сеть, должно поддерживать связь с внешним злоумышленником. Через этот канал связи злоумышленник отправляет вредоносному ПО команды, такие как «зашифровать эти файлы», «выгрузить эти данные» или «распространиться на другие машины в сети». Серверы, обеспечивающие эту связь, называются командно-контрольными. Обычно системы кибербезопасности быстро обнаруживают и блокируют трафик к известным вредоносным C2-серверам.

Но то, что сделала группировка DragonForce, одновременно гениально и тревожно. Вместо того чтобы создавать собственные C2-серверы, они направили свой трафик через легитимные серверы Microsoft Teams. Когда системы безопасности анализировали исходящий трафик, они, вероятно, видели доверенный адрес назначения, такой как «teams.microsoft.com», и не поднимали тревогу. Это позволило злоумышленникам беспрепятственно отправлять команды и красть данные через зашифрованный и выглядящий легитимным туннель. Эта тактика наглядно демонстрирует, как легко можно обойти традиционные средства сетевой безопасности.

Кто пострадал

В настоящее время личность организации, пострадавшей от атаки, не разглашается. Однако такие изощренные методы атаки могут использоваться как против конкретной цели, так и оппортунистически против любой организации, считающейся слабым звеном. Для финансово мотивированных групп, таких как DragonForce, отраслевая принадлежность не имеет большого значения. Любая организация, обладающая ценными данными и рискующая понести значительные убытки в случае остановки своей деятельности, является потенциальной целью, будь то в сфере финансов, здравоохранения, образования, производства или в государственном секторе.

Самый важный вывод из этого инцидента заключается в том, что любая компания, использующая широко распространенные платформы, такие как Microsoft Teams, потенциально находится под угрозой. Злоумышленники теперь нацелены не только на вашу инфраструктуру, но и на инфраструктуру доверенных сторонних сервисов, чтобы добраться до вас. Поэтому, независимо от вашей отрасли, разумнее всего исходить из того, что вы можете стать жертвой подобных атак. Если следить за последними Novosti ob utechkah, можно заметить, что число подобных атак на цепочки поставок или через доверенных третьих лиц неуклонно растет.

Что вы можете сделать

Защита от таких сложных атак требует гораздо большего, чем просто установка антивирусного программного обеспечения. Вот некоторые важные меры, которые могут предпринять организации и частные лица:

• Глубокий анализ сетевого трафика: Вместо того чтобы просто разрешать трафик на основе его назначения, анализируйте его природу. Является ли трафик к серверам Microsoft нормальным? Отправляет ли компьютер пользователя гигабайты данных на серверы Teams посреди ночи? Использование передовых инструментов мониторинга сети, способных обнаруживать такие аномалии, имеет решающее значение.
• Внедрение модели «нулевого доверия» (Zero Trust): Старая мантра «доверяй всему внутри, сомневайся во всем снаружи» больше не работает. Модель «нулевого доверия» требует, чтобы каждый запрос на доступ, будь то изнутри или извне сети, был аутентифицирован и авторизован. Ни одному пользователю или устройству не доверяют по умолчанию.
• Решения для обнаружения и реагирования на конечных точках (EDR/XDR): Даже если злоумышленники обойдут сетевую защиту, местом совершения их действий являются компьютеры сотрудников (конечные точки). Решения EDR и XDR могут обнаруживать подозрительное поведение на этих устройствах (например, когда документ Word внезапно пытается получить доступ к другим файлам в сети) и остановить атаку до ее начала.
• Проактивная охота на угрозы (Threat Hunting): Не ждите, пока сработает сигнализация. Ваши команды безопасности должны активно искать следы злоумышленников в вашей сети и системах. Это означает ручное расследование аномалий, таких как необычные сетевые подключения, подозрительные процессы или неожиданные изменения конфигурации.
• Наличие плана реагирования на инциденты: Несмотря на самые лучшие средства защиты, атака все же может произойти. Убедитесь, что у вас есть четкий план, в котором прописано, что делать, с кем связываться, как изолировать системы и как продолжать работу в такой ситуации.

Что говорит компания

На момент написания этой статьи, 17 июня 2026 года, от Microsoft не поступало официальных комментариев или заявлений относительно злоупотребления инфраструктурой Teams в этой конкретной атаке. Обычно в таких ситуациях Microsoft задействует свои собственные команды безопасности для расследования инцидента и предотвращения подобных случаев в будущем. Также не было пресс-релиза от неназванной компании, подвергшейся атаке. Ожидается, что в ближайшие дни от обеих сторон поступит более подробная информация.

Источник

https://www.securityweek.com/microsoft-teams-relay-servers-abused-in-dragonforce-ransomware-attack/