Hackern nutzen Microsoft Teams, um Zugangsdaten zu stehlen und Multi-Faktor-Authentifizierung zu manipulieren

Den Opfern wurde dann explizit angewiesen,

Den Opfern wurde dann explizit angewiesen, ihre Zugangsdaten in lokal erstellte Textdateien mit den Namen credentials.txt und cred.txt einzutippen und Angreifer-kontrollierte Geräte in ihre MFA-Konfigurationen aufzunehmen. Diese Technik spiegelt einen breiteren Trend des Teams-basierten Engineering wider, der 2026 zugenommen hat.

Microsoft Defender Research dokumentierte im März 2026 eine groß angelegte Kampagne zum Diebstahl, die ähnlich die vertrauenswürdige Umgebung, um herkömmliche Sicherheitskontrollen zu umgehen.

Mandiant-Forscher haben unabhängig bestätigt, dass Angreifer, die sich als Mitarbeiter des Microsoft Teams Help Desks ausgaben, Opfer dazu verleiteten, Malware zum Stehlen, und zwar so aktuell wie April 2026.

Technischer Hintergrund

Nach der Kompromittierung der Zugangsdaten authentifizierte der Bedrohungsakteur sich mit den erbeuteten Konten in interne Systeme, einschließlich Domain Controllers, und setzte das Remote-Management-Tool DWAgent zusammen mit AnyDesk ein, um dauerhaften Zugriff zu erlangen.

Anschließend wurde über curl ein benutzerdefinierter Downloader, ms_upd.exe, C2-Infrastruktur unter 172.86.126[.]208:443 geliefert. Der Downloader sammelte Host-Informationen, generierte eine eindeutige Client-ID und registrierte das Opfer beim C2-Domain moonzonet[.]com.

Anschließend wurden drei Komponenten abgerufen: eine legitime WebView2Loader.dll, eine verschlüsselte Konfigurationsdatei (visualwincomp.txt) und der primäre Backdoor, Game.exe. Game.exe ist ein benutzerdefinierter Remote Access Trojan (RAT), der sich als legitime Microsoft WebView2-Anwendung tarnt und das offizielle WebView2APISample-Projekt trojanisiert.

Technischer Hintergrund

Der RAT implementiert 12 Kernfunktionen, darunter die Ausführung beliebiger Befehle über versteckte cmd.exe oder kodierte PowerShell-Sitzungen, das Hochladen, die Einrichtung einer interaktiven Shell und die Löschung werden an den C2-Server uploadfiler[.]com auf Port 443 zurückgemeldet.

Es verfügt außerdem über Sandbox-Erkennung, virtuelle Maschinen-Erkennung mittels CPU-Analyse und AES-256-GCM-verschlüsselte Konfigurationsspeicherung. Allerdings deutet die inkonsistente Verwendung, die kritische Strings wie RAT-Befehle und JSON-Registrierungsformate im Klartext belässt, auf einen unerfahrenen Entwickler hin.

Der technische Wendepunkt, der die False Flag entlarvte, war ein Code-Signing-Zertifikat, das unter dem Namen „Donald Gay“ AOC CA 02 ausgestellt wurde und den Thumbprint B674578D4BDB24CD58BF2DC884EAA658B7AA250C aufweist.

Technik und Auswirkungen

Dieses Zertifikat ist eine bekannte gemeinsame Ressource im MuddyWater-Toolkit und wird „Operation Olalampo“ in Verbindung gebracht, einer Kampagne aus dem Jahr 2026, die US- und MENA-Organisationen ins Visier nahm. Zusätzliche technische Artefakte untermauerten die Zuordnung.

Laut dem Rapid7-Bericht wurde die C2-Domain moonzonet[.]com Anfang 2026 im Zusammenhang mit MuddyWater-Aktivitäten während einer Welle westliche Organisationen verknüpft. Die charakteristische Nutzung, um Code in suspendierte Prozesse zu injizieren, wurde ebenfalls als ein konsistentes Merkmal ihrer Einsatzkette beobachtet.

Darüber hinaus steht die interaktive, auf Teams basierende MFA-Harvesting-Technik in engem Zusammenhang mit der „IT Support“-Persona, die MuddyWater im Laufe des Jahres 2026 verfeinert hat. Dies entspricht zuvor dokumentierten -Engineering-Mustern, die Unternehmenskommunikationsplattformen ausnutzen.

Sicherheitslage und Risiko

Chaos Ransomware trat Anfang 2025 als Nachfolger der gestörten BlackSuit-Infrastruktur auf und wird vermutet, dass sie aus ehemaligen Mitgliedern. Sie ist bekannt für Double- und Triple-Extortion-Taktiken, bei denen die Veröffentlichung, DDoS-Angriffe und sogar die Kontaktaufnahme mit den Kunden der Opfer bedroht werden.

Ihre Datenleck-Seite verwendet einen charakteristischen „blinden“ Countdown-Timer, der die Identitäten der Opfer zurückhält, bis die Verhandlungen abgelaufen sind.

Zum Spätherbst 2026 hatte die Gruppe 36 Opfer gemeldet, hauptsächlich aus den Sektoren Bauwesen, Fertigung und Unternehmensdienstleistungen in den USA. * MFA-Konfigurationsänderungen, die öhnlichen Sitzungen oder Geräten stammen, welche nicht mit dem betroffenen Benutzer in Verbindung stehen. * Ausgehende Verbindungen zu moonzonet[.]com, uploadfiler[.]com oder adm-pulse[.]com, die in dieser Kampagne als C2- und Phishing-Infrastruktur dienten.