B
今週中
初期アクセスブローカーのKongTukeが、Microsoft Teamsを利用したソーシャルエンジニアリング攻撃を開始しました
📌 一言でいうと
初期アクセスブローカーのKongTukeが、Microsoft Teamsを利用したソーシャルエンジニアリング攻撃を開始しました。攻撃者はITサポート等を装い、ユーザーに悪意のあるPowerShellコマンドを実行させることで、ModeloRATを感染させます。これにより、わずか5分で企業ネットワークへの永続的なアクセス権を奪取し、その後ランサムウェア攻撃者にアクセス権を売却する仕組みとなっています。
🔍該当判定
- 社内でチャットツールとして『Microsoft Teams』を利用している
- 外部ユーザー(社外の人)からのチャットメッセージを受信できる設定になっている
- 社員がITサポートやヘルプデスクを装った人物から、Teams上で指示を受けて操作を行う可能性がある
- PC上で『PowerShell』などのコマンド実行を制限せずに利用させている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 社員に対し、Teamsでの見知らぬ相手からの連絡や、コマンド実行を促す指示に従わないよう周知徹底すること。 2. PowerShellの実行ポリシーを制限し、未署名のスクリプト実行を禁止すること。 3. EDR等の監視ツールで、不審なPowerShellプロセスの起動を検知・遮断する設定を確認すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft Teamsを悪用したなりすましメッセージについて
お疲れさまです。情報システム担当です。
現在、ITサポートやヘルプデスクを装い、Microsoft Teamsで偽の指示を送る攻撃が確認されています。
ご協力をお願いしたいこと:
1. Teamsで面識のない相手や、不審なアカウントから「コマンドを実行してほしい」という依頼が来た場合は、絶対に指示に従わず、すぐに情報システム担当へ報告してください。
2. 相手が社内の人間を名乗っていても、不自然な操作(PowerShellの起動など)を求められた場合は、電話や別の手段で本人に確認してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
現在、ITサポートやヘルプデスクを装い、Microsoft Teamsで偽の指示を送る攻撃が確認されています。
ご協力をお願いしたいこと:
1. Teamsで面識のない相手や、不審なアカウントから「コマンドを実行してほしい」という依頼が来た場合は、絶対に指示に従わず、すぐに情報システム担当へ報告してください。
2. 相手が社内の人間を名乗っていても、不自然な操作(PowerShellの起動など)を求められた場合は、電話や別の手段で本人に確認してください。
対応期限: 本日中
Subject: [Security Alert] Impersonation Attacks via Microsoft Teams
Dear employees,
We have received reports of social engineering attacks where attackers impersonate IT support or help-desk staff via Microsoft Teams.
What you need to do:
1. If you receive a message from an unknown person or a suspicious account asking you to run a command or script, DO NOT follow the instructions. Report it to the IT department immediately.
2. Even if the sender claims to be a colleague, please verify their identity through another channel (e.g., phone call) if they ask you to perform unusual system operations.
Deadline: Immediate
Dear employees,
We have received reports of social engineering attacks where attackers impersonate IT support or help-desk staff via Microsoft Teams.
What you need to do:
1. If you receive a message from an unknown person or a suspicious account asking you to run a command or script, DO NOT follow the instructions. Report it to the IT department immediately.
2. Even if the sender claims to be a colleague, please verify their identity through another channel (e.g., phone call) if they ask you to perform unusual system operations.
Deadline: Immediate
件名: 【共有】KongTukeによるMicrosoft Teams経由のModeloRAT感染について
お疲れさまです。KongTukeによる新たな攻撃手法に関する情報共有です。
■ 概要
初期アクセスブローカーのKongTukeが、Microsoft Teamsを用いてユーザーにPowerShellコマンドを実行させ、ModeloRATを配備する手法を用いています。短時間で永続的なアクセス権を奪取し、ランサムウェアグループへ販売するフローとなっています。
■ 影響範囲
- Microsoft Teamsを利用している全エンドポイント
■ 対応手順
1. PowerShellの実行ポリシー(ExecutionPolicy)を厳格に管理し、未署名スクリプトの実行を制限する。
2. EDR/SIEMにて、Teamsプロセスから派生する不審なpowershell.exeの起動を監視・アラート設定する。
3. ユーザーへのセキュリティ意識向上トレーニング(ソーシャルエンジニアリング対策)を実施する。
■ 参考情報
- ReliaQuest 研究レポート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。KongTukeによる新たな攻撃手法に関する情報共有です。
■ 概要
初期アクセスブローカーのKongTukeが、Microsoft Teamsを用いてユーザーにPowerShellコマンドを実行させ、ModeloRATを配備する手法を用いています。短時間で永続的なアクセス権を奪取し、ランサムウェアグループへ販売するフローとなっています。
■ 影響範囲
- Microsoft Teamsを利用している全エンドポイント
■ 対応手順
1. PowerShellの実行ポリシー(ExecutionPolicy)を厳格に管理し、未署名スクリプトの実行を制限する。
2. EDR/SIEMにて、Teamsプロセスから派生する不審なpowershell.exeの起動を監視・アラート設定する。
3. ユーザーへのセキュリティ意識向上トレーニング(ソーシャルエンジニアリング対策)を実施する。
■ 参考情報
- ReliaQuest 研究レポート
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] ModeloRAT Deployment via Microsoft Teams by KongTuke
Dear Security Team,
This is a notification regarding a shift in tactics by the initial access broker KongTuke.
■ Overview
KongTuke is now leveraging Microsoft Teams for social engineering, tricking users into executing PowerShell commands to deploy ModeloRAT. This allows the actor to establish persistent access to corporate networks rapidly, which is subsequently sold to ransomware operators.
■ Scope
- All endpoints utilizing Microsoft Teams
■ Mitigation Steps
1. Enforce strict PowerShell Execution Policies to prevent the execution of unsigned scripts.
2. Configure EDR/SIEM to monitor and alert on suspicious powershell.exe child processes originating from Teams.
3. Conduct targeted security awareness training regarding social engineering via collaboration tools.
■ Reference
- ReliaQuest Research
Priority: High
Deadline: Immediate
Dear Security Team,
This is a notification regarding a shift in tactics by the initial access broker KongTuke.
■ Overview
KongTuke is now leveraging Microsoft Teams for social engineering, tricking users into executing PowerShell commands to deploy ModeloRAT. This allows the actor to establish persistent access to corporate networks rapidly, which is subsequently sold to ransomware operators.
■ Scope
- All endpoints utilizing Microsoft Teams
■ Mitigation Steps
1. Enforce strict PowerShell Execution Policies to prevent the execution of unsigned scripts.
2. Configure EDR/SIEM to monitor and alert on suspicious powershell.exe child processes originating from Teams.
3. Conduct targeted security awareness training regarding social engineering via collaboration tools.
■ Reference
- ReliaQuest Research
Priority: High
Deadline: Immediate