MuddyWater koristio Microsoft Teams za krađu kredencijala u napadu maskiranom kao ransomware
Rapid7 je analizirao napad iz početka 2026. koji je u prvi mah ličio na Chaos ransomware kampanju, ali dokazi ukazuju na ciljanu operaciju grupe MuddyWater, povezane sa Iranom. Napadači su koristili Microsoft Teams za direktan kontakt sa zaposlenima, screen sharing, manipulaciju MFA procesom i krađu kredencijala. Umesto klasičnog ransomware toka sa šifrovanjem fajlova, fokus je bio na pristupu, izviđanju, eksfiltraciji podataka i dugotrajnijem prisustvu kroz alate kao što su DWAgent i AnyDesk. U napadu su korišćeni i zlonamerni fajlovi poput ms_upd.exe i prilagođeni RAT koji se predstavljao kao Microsoft WebView2 aplikacija.
Granica između državnih operacija i kriminalnog ransomware ekosistema sve je mutnija. Kada napadač koristi poznate RaaS obrasce, Teams vishing, remote management alate i pregovore o otkupu, odbrana može potrošiti vreme na pogrešan okvir incidenta, dok stvarni cilj ostaje pristup, persistence i prikupljanje podataka.
- Ograničiti ili strogo kontrolisati spoljne Microsoft Teams chat zahteve, naročito prema zaposlenima sa pristupom VPN-u, administraciji i osetljivim sistemima
- Obučiti korisnike da ne dele ekran, ne unose lozinke i ne prate MFA instrukcije od osoba koje se predstavljaju kao podrška preko Teams-a
- Pratiti instalaciju i pokretanje remote access alata kao što su DWAgent, AnyDesk, Quick Assist i slični alati
- U incidentima koji liče na ransomware proveriti da li postoji šifrovanje, ili je ransomware samo maska za eksfiltraciju i dugotrajan pristup
- Tražiti tragove neobičnih curl preuzimanja, WebView2 maskiranja, novih RDP sesija, PowerShell aktivnosti i komandi za izviđanje sistema