Hackern nutzen Microsoft Teams, um Zugangsdaten zu stehlen und Multi-Faktor-Authentifizierung zu manipulieren

Der Angriff wies zwar alle sichtbaren Merkmale einer finanziell motivierten Erpressungskampagne auf, wurde aber mit moderater Zuversicht als staatlich geförderte Operation eingestuft, die mit MuddyWater (auch bekannt als Mango Sandstorm, Seedworm und Static Kitten) zusammenhängt. Es handelt sich um eine iranische Advanced Persistent Threat (APT)-Gruppe, die dem Ministry of Intelligence and Security (MOIS) zugeordnet wird.

Anstatt Dateien für Lösegeld zu verschlüsseln, konzentrierte sich der Bedrohungsakteur ausschließlich auf das Sammeln (Credential Harvesting), die Exfiltration langfristigen Persistenz, die auf Spionageaktivitäten und nicht auf Cyberkriminalität hindeuten.

Dem Rapid7-Bericht zufolge stellt die Kampagne eine bewusste „False-Flag“-Strategie dar: Die Betreiber nutzten die Marke des Chaos Ransomware-as-a-Service (RaaS), um eine kriminelle Identität zu projizieren, während sie heimliche Spionageoperationen gegen Organisationen in den Vereinigten Staaten und der MENA-Region durchführten.

Microsoft Teams als Angriffsvektor Der Einbruch

Microsoft Teams als Angriffsvektor Der Einbruch begann mit unerwünschten externen Chat-Anfragen, die an Mitarbeiter über Microsoft Teams gesendet wurden. Sobald ein Kontakt hergestellt war, leitete der Bedrohungsakteur interaktive Bildschirmfreigabesitzungen ein. Dabei nutzte er die direkte Sichtbarkeit der Desktops der Benutzer, um Erkundigungsbefehle auszuführen, darunter ipconfig /all, whoami und net start.

Den Opfern wurde dann explizit angewiesen, ihre Zugangsdaten in lokal erstellte Textdateien mit den Namen credentials.txt und cred.txt einzutippen und Angreifer-kontrollierte Geräte in ihre MFA-Konfigurationen aufzunehmen. Diese Technik spiegelt einen breiteren Trend des Teams-basierten Engineering wider, der 2026 zugenommen hat.

Microsoft Defender Research dokumentierte im März 2026 eine groß angelegte Kampagne zum Diebstahl, die ähnlich die vertrauenswürdige Umgebung, um herkömmliche Sicherheitskontrollen zu umgehen. Mandiant-Forscher haben unabhängig bestätigt, dass Angreifer, die sich als Mitarbeiter des Microsoft Teams Help Desks ausgaben, Opfer dazu verleiteten, Malware zum Stehlen, und zwar so aktuell wie April 2026.

Nach der Kompromittierung der Zugangsdaten authentifizierte

Nach der Kompromittierung der Zugangsdaten authentifizierte der Bedrohungsakteur sich mit den erbeuteten Konten in interne Systeme, einschließlich Domain Controllers, und setzte das Remote-Management-Tool DWAgent zusammen mit AnyDesk ein, um dauerhaften Zugriff zu erlangen. Anschließend wurde über curl ein benutzerdefinierter Downloader, ms_upd.exe, C2-Infrastruktur unter 172.86.126[.]208:443 geliefert.

Der Downloader sammelte Host-Informationen, generierte eine eindeutige Client-ID und registrierte das Opfer beim C2-Domain moonzonet[.]com. Anschließend wurden drei Komponenten abgerufen: eine legitime WebView2Loader.dll, eine verschlüsselte Konfigurationsdatei (visualwincomp.txt) und der primäre Backdoor, Game.exe.

Game.exe ist ein benutzerdefinierter Remote Access Trojan (RAT), der sich als legitime Microsoft WebView2-Anwendung tarnt und das offizielle WebView2APISample-Projekt trojanisiert.

Der RAT implementiert 12 Kernfunktionen, darunter

Der RAT implementiert 12 Kernfunktionen, darunter die Ausführung beliebiger Befehle über versteckte cmd.exe oder kodierte PowerShell-Sitzungen, das Hochladen, die Einrichtung einer interaktiven Shell und die Löschung werden an den C2-Server uploadfiler[.]com auf Port 443 zurückgemeldet.

Es verfügt außerdem über Sandbox-Erkennung, virtuelle Maschinen-Erkennung mittels CPU-Analyse und AES-256-GCM-verschlüsselte Konfigurationsspeicherung. Allerdings deutet die inkonsistente Verwendung, die kritische Strings wie RAT-Befehle und JSON-Registrierungsformate im Klartext belässt, auf einen unerfahrenen Entwickler hin.

Der technische Wendepunkt, der die False Flag entlarvte, war ein Code-Signing-Zertifikat, das unter dem Namen „Donald Gay“ AOC CA 02 ausgestellt wurde und den Thumbprint B674578D4BDB24CD58BF2DC884EAA658B7AA250C aufweist.

Dieses Zertifikat ist eine bekannte gemeinsame

Dieses Zertifikat ist eine bekannte gemeinsame Ressource im MuddyWater-Toolkit und wird „Operation Olalampo“ in Verbindung gebracht, einer Kampagne aus dem Jahr 2026, die US- und MENA-Organisationen ins Visier nahm. Zusätzliche technische Artefakte untermauerten die Zuordnung.

Laut dem Rapid7-Bericht wurde die C2-Domain moonzonet[.]com Anfang 2026 im Zusammenhang mit MuddyWater-Aktivitäten während einer Welle westliche Organisationen verknüpft. Die charakteristische Nutzung, um Code in suspendierte Prozesse zu injizieren, wurde ebenfalls als ein konsistentes Merkmal ihrer Einsatzkette beobachtet.

Darüber hinaus steht die interaktive, auf Teams basierende MFA-Harvesting-Technik in engem Zusammenhang mit der „IT Support“-Persona, die MuddyWater im Laufe des Jahres 2026 verfeinert hat. Dies entspricht zuvor dokumentierten -Engineering-Mustern, die Unternehmenskommunikationsplattformen ausnutzen.

Chaos Ransomware trat Anfang 2025 als

Chaos Ransomware trat Anfang 2025 als Nachfolger der gestörten BlackSuit-Infrastruktur auf und wird vermutet, dass sie aus ehemaligen Mitgliedern. Sie ist bekannt für Double- und Triple-Extortion-Taktiken, bei denen die Veröffentlichung, DDoS-Angriffe und sogar die Kontaktaufnahme mit den Kunden der Opfer bedroht werden.

Ihre Datenleck-Seite verwendet einen charakteristischen „blinden“ Countdown-Timer, der die Identitäten der Opfer zurückhält, bis die Verhandlungen abgelaufen sind.

Zum Spätherbst 2026 hatte die Gruppe 36 Opfer gemeldet, hauptsächlich aus den Sektoren Bauwesen, Fertigung und Unternehmensdienstleistungen in den USA. * MFA-Konfigurationsänderungen, die öhnlichen Sitzungen oder Geräten stammen, welche nicht mit dem betroffenen Benutzer in Verbindung stehen. * Ausgehende Verbindungen zu moonzonet[.]com, uploadfiler[.]com oder adm-pulse[.]com, die in dieser Kampagne als C2- und Phishing-Infrastruktur dienten.