eSentire Threat Response Unit описала ланцюжок Microsoft Teams vishing, у якому зловмисники спершу засипали поштову скриньку сотнями листів, потім представилися IT-підтримкою в Teams, переконали користувача запустити Windows Quick Assist і зрештою розгорнули Java-троян Nimbus RAT. Практичний висновок простий: email flood, зовнішній контакт у Teams, запит Quick Assist, посилання на Pastebin/SharePoint і незвичний запуск javaw.exe дають кілька шансів зупинити атаку до повного компромісу.
Кампанія передусім націлена на організації, але той самий сценарій небезпечний для малого бізнесу та Windows-користувачів, які приймають зовнішні чати в Teams. Якщо після різкого сплеску листів до вас звертається “підтримка” і просить відкрити Quick Assist, перевірте запит окремим довіреним каналом.
Кого це стосується
- Організацій, де дозволені зовнішні чати або дзвінки Microsoft Teams від невідомих тенантів.
- Windows-користувачів, які можуть запускати Quick Assist без перевірки helpdesk.
- Адміністраторів Teams, які все ще дозволяють широкий external access замість списку довірених доменів.
- Користувачів, які бачать хвилю реєстраційних або subscription-листів, а потім отримують повідомлення від “IT support”.
Як працює атака
| Етап | На що звернути увагу |
|---|---|
| Email flood | За короткий час приходять сотні листів із реєстраціями, підписками чи підтвердженнями. Потік створює паніку і дає фальшивій підтримці привід звернутися до користувача. |
| Teams vishing | Зовнішній акаунт Teams використовує назви на кшталт IT support, helpdesk, admin або security і пропонує “вирішити” проблему з поштою. |
| Quick Assist | Користувача просять запустити Quick Assist, ввести код, показати екран і дозволити керування. Microsoft прямо попереджає, що небажані запити від “підтримки” є типовою ознакою tech support scam. |
| Payload | У випадку eSentire користувача привели до інструкцій Pastebin і SharePoint-архіву, після чого InboxCorePro.reg та InboxCorePro.jar активували Nimbus RAT. |
| Запуск RAT | Шукайте javaw.exe, який запускає JAR із нетипового каталогу, наприклад C:ProgramDataInboxCorePro, особливо після сесії віддаленої допомоги. |
Що робити після такого контакту
- Негайно завершіть віддалену сесію. Не виконуйте подальші інструкції з того самого чату або дзвінка.
- Передайте IT або власнику сервісу час Teams-контакту, період email flood, дані Quick Assist-сесії та всі завантажені файли.
- Перевірте історію браузера й завантаження поруч із дзвінком: Pastebin, SharePoint, OneDrive, Google Drive, ZIP/JAR або невідомі remote-support утиліти.
- Огляньте
C:ProgramData, Startup, нещодавні імпорти.regі нетипові Java-запуски.javaw.exe -jarпоза нормальним шляхом Java-програми потребує негайної перевірки. - З чистого пристрою змініть паролі й відкличте активні сесії для пошти, Microsoft 365, хмарних сховищ, месенджерів, банкінгу та адміністративних акаунтів.
- Проскануйте уражений ПК надійним засобом захисту. Gridinsoft Anti-Malware може бути корисним як додаткова перевірка підозрілих архівів, автозапуску й залишків remote-access інструментів, але корпоративний пристрій після hands-on-keyboard активності часто безпечніше перевстановити або переобразити.
- Для організацій: обмежте Teams external access, блокуйте trial-only tenants там, де це можливо, і вимкніть Quick Assist на пристроях, де він не потрібен.
Також не видаляйте email flood наосліп. Такий потік може приховувати реальні листи про зміну пароля, платіж, переадресацію пошти або вхід до акаунта. Українські матеріали про фішинг кодом пристрою Microsoft і Deno RAT у фейкових завантаженнях дають додатковий контекст про крадіжку токенів, remote-access malware і перевірку Windows після запуску підозрілих файлів.
Що посилити адміністраторам
- Замініть широкий Teams federation на allow-list довірених доменів, якщо бізнес-процеси це дозволяють.
- Перевірте, чи потрібне спілкування з unmanaged або trial Teams tenants.
- Вимкніть Quick Assist або заблокуйте його сервісний endpoint на пристроях, де вже використовується керований remote-help продукт.
- Створіть alert для різкого зростання кількості листів у скриньці, особливо перед зовнішнім Teams-контактом.
- Корелюйте
QuickAssist.exe,cmd.exe-розвідку, переходи на paste-сервіси, завантаження архівів,regedit.exeіjavaw.exeз JAR.
FAQ
Quick Assist є шкідливою програмою?
Ні. Quick Assist — легальна програма Microsoft для віддаленої допомоги. Небезпека виникає тоді, коли незнайомець або неперевірена “підтримка” переконує вас відкрити сесію і надати керування.
Це стосується лише компаній?
Звіт eSentire описує організаційний сценарій, але сама схема може спрацювати й проти малого бізнесу або домашнього користувача: email flood, фальшива підтримка, віддалений доступ, потім завантаження.
Який перший сигнал небезпеки?
Раптовий потік реєстраційних або subscription-листів. Якщо невдовзі після цього з’являється Teams-повідомлення від “підтримки”, перевіряйте його через окремий довірений канал.
Чи треба перевстановлювати Windows?
Якщо стороння особа лише бачила екран і нічого не запускала, може вистачити ретельної перевірки акаунтів і ПК. Якщо запускалися архіви, JAR, registry-файли або команди, чиста перевстановка чи корпоративний re-image безпечніші.
Джерела
- eSentire Threat Response Unit. “Nimbus RAT: How Threat Actors Are Abusing Microsoft Teams and Google Drive to Deploy a Java RAT.” eSentire, 28 травня 2026, дата доступу 5 червня 2026. https://www.esentire.com/blog/nimbus-rat-how-threat-actors-are-abusing-microsoft-teams-and-google-drive-to-deploy-a-java-rat
- Microsoft Learn. “Use Quick Assist to help users.” Microsoft, оновлено 30 вересня 2025, дата доступу 5 червня 2026. https://learn.microsoft.com/en-us/windows/client-management/client-tools/quick-assist
- Microsoft Learn. “Manage external meetings and chat with people and organizations using Microsoft identities.” Документація Microsoft Teams, дата доступу 5 червня 2026. https://learn.microsoft.com/en-us/microsoftteams/trusted-organizations-external-meetings-chat
