Cyberkriminelle nutzen Microsoft Teams und Google Drive zur Verbreitung von Remote-Access-Malware

Innerhalb weniger Minuten lieferte der Angreifer einen Java-basierten Remote-Access-Trojaner namens Nimbus RAT aus und vollendete den Kompromittierungsvorgang in weniger als. Der Angriff folgte einer strukturierten, wiederholbaren Kill Chain und unterstreicht die wachsende operative Reife dieser Kampagnen.

Er begann mit einer Phase des E-Mail-Bombardements, bei der das Postfach des Opfers in kurzer Zeit mit über 280 legitimen Abonnement-E-Mails überflutet wurde. Dies erzeugte Verwirrung und Dringlichkeit und schuf die Voraussetzungen für einen gefälschten IT-Helpdesk-Kontakt Microsoft Teams.

Der Angreifer, der sich als internes Support-Personal ausgab, überzeugte den Benutzer, Quick Assist zu starten und schrittweise Anweisungen zu befolgen, die über einen Pastebin-Link übermittelt wurden.

Technik und Auswirkungen

Das finale Payload wurde aus einem kompromittierten Microsoft 365-Tenant abgerufen, der auf SharePoint gehostet wird, was die Illusion der Legitimität weiter verstärkte.

Das heruntergeladene Archiv enthielt eine bösartige Java-Archivdatei, die mit einer OpenJDK-Laufzeitumgebung gebündelt war und die Ausführung auf jedem Windows-System ermöglichte, unabhängig ängigkeiten. Nach der Ausführung etablierte Nimbus RAT Persistenz und initiierte verschlüsselte Kommunikationen mit seiner Command-and-Control-Infrastruktur.

Hacker missbrauchen Teams zur Verbreitung Nutzung Sheets als C2-Kanäle. Anstatt traditionelle bösartige Infrastrukturen zu verwenden, kommuniziert die Malware mit legitimen Google-APIs, was eine Erkennung auf Netzwerkebene extrem erschwert. Befehle werden aus abgerufen, und die exfiltrierten Daten werden auf dieselbe Weise hochgeladen.

Technischer Hintergrund

Dieses Design gewährleistet, dass der Datenverkehr nahtlos mit normalen Unternehmens-Cloud-Aktivitäten verschmilzt. Die statische Analyse zeigt, dass Nimbus RAT ein modulares und hochleistungsfähiges Implantat ist.

Es unterstützt die Ausführung beliebiger Befehle, die Manipulation des Dateisystems, den Zugriff auf das Registrierungs-Verzeichnis, die Erfassung ührung ist die Integration zweier Credential-Harvesting-Mechanismen: eine gefälschte Windows-Sicherheitsabfrage und die direkte API-Aufrufung über CredUIPromptForCredentialsW.

Beide Techniken sind darauf ausgelegt, mehrere Passwortversuche zu erfassen, um die Erfolgsquote zu erhöhen. Die Telemetrie der Threat Response Unit (TRU), dass es sich nicht um einen isolierten Vorfall handelt.

Technik und Auswirkungen

Die eSentire Threat Response Unit gab in einem Bericht, der Cybersecurity News zur Verfügung gestellt wurde, bekannt, dass Forscher über einen Zeitraum von 12 Monaten 1.540 verdächtige Microsoft-Teams-Interaktionen in 172 Organisationen beobachteten, wobei zwischen Dezember 2025 und März 2026 ein deutlicher Anstieg zu verzeichnen war.

Fast 65 Prozent dieser Angriffe stammten aus temporären Microsoft 365-Mandanten mit onmicrosoft.com-Domains und nahmen häufig die Identität. Die Analyse der Infrastruktur zeigt konsistente Muster der Angreifer, darunter schnelle Domainregistrierungen, häufig genutzte Top-Level-Domains (TLDs), die Wiederverwendung die großflächige Erstellung Kampagnen.

In einigen Fällen wurden zudem kompromittierte legitime Mandanten genutzt, was die Glaubwürdigkeit öhte und die Skepsis der Benutzer verringerte. Die weitreichende Implikation ist ein Wandel hin zur Ausnutzung vertrauenswürdiger SaaS-Ökosysteme in jeder Phase des Angriffslebenszyklus.

Technischer Hintergrund

Microsoft Teams wird für den ersten Zugriff genutzt, SharePoint für die Auslieferung der Last, Pastebin zur Vorbereitung, Quick Assist für die Fernsteuerung und Google Drive für die Kommando- und Steuerungsinfrastruktur.

Da diese Plattformen weit verbreitet sind und nicht einfach blockiert werden können, müssen sich Verteidiger auf verhaltensbasierte Erkennung und mehrschichtige Sichtbarkeit verlassen.

Sicherheitsteams werden empfohlen, ungewöhnliche E-Mail-Aktivitäten zu überwachen, wie etwa plötzliche Anstiege beim eingehenden E-Mail-Volumen, die häufig Vishing-Angriffen vorausgehen. Endpoint-Telemetrie bleibt entscheidend, insbesondere zur Identifizierung des verdächtigen Ausführens und zur Korrelation mit ausgehenden Verbindungen Google-APIs.

Technischer Hintergrund

Diese Kampagne verdeutlicht, wie Angreifer Engineering mit legitimen Cloud-Diensten kombinieren, um traditionelle Schutzmaßnahmen zu umgehen.

Unternehmen zunehmend auf SaaS-Plattformen setzen, wächst der Bedarf an kontextbewussten Erkennungsstrategien, die sich auf Nutzerverhalten, Prozessaktivitäten und Identitätssignale konzentrieren, anstatt sich allein auf domänenbasierte Blockaden zu verlassen. Abi ist Security Editorin und Reporterin bei