Når helpdesken er truslen

By Danny Bradbury • 28. maj 2026 • 5 minutters læsning

Gamle social engineering-angribere dør aldrig; de udvikler sig bare og bliver bedre. Her er en historie om en angrebsgruppe, der er dristig nok til at holde kompromitterende infrastruktur åben for øjnene, og råd om, hvad man kan gøre ved det.

I slutningen af maj 2024 så Microsoft en økonomisk motiveret cyberkriminel gruppe, som de sporer som Storm-1811, gøre noget, som traditionelle perimeterkontroller ikke var bygget til at se – de loggede på Teams, sagde hej og bad om hjælp.

Cloud- og softwaregigantens trusselsefterretningsteam havde allerede dokumenteret De samme operatører, der misbrugte fjernsupportværktøjet Quick Assist siden midten af april samme år, men skiftet til Teams gav dem en ny hoveddør. Storm-1811, skrev Microsofts analytikere, "er en økonomisk motiveret cyberkriminel gruppe, der er kendt for at implementere BlackBasta ransomware", og de brugere, de registrerede til operationen, havde visningsnavne så generiske, at de gik ubemærket hen: 'Help Desk', 'Help Desk IT', 'Help Desk Support', 'IT Support'.

Siden da har mønsteret fortsat. Den 4. november sidste år, en ekstern bruger logget ind i et kundemiljø under visningsnavnet "IT Support" ved hjælp af kontoen mostafa.s@dhic.edu.eg. Inden for otteogtyve minutter havde de åbnet en Quick Assist-skærmdelingssession mod et mål, der troede, at han talte med kolleger.

Fem måneder senere, i marts i år, BlueVoyant offentliggjort Retsmedicinerne i en relateret kampagne, der dropper en tidligere udokumenteret nyttelast kaldet A0Backdoor, vurderede den som "en udvikling af taktikker, teknikker og procedurer forbundet med BlackBasta ransomware-banden, som er opløst efter at de interne chatlogs fra operationen blev lækket". Holdet har ændret sig; det har håndværket ikke.

Dette er et vedvarende problem. Teams har en fireårig historie med at lade imitatorer bøje tillidsmodellen indefra. Check Point Research, i en afsløring, der løb fra marts 2024, indtil den endelige patch landede i slutningen af oktober 2025, dokumenteret at angribere kunne overskrive chats i stilhed ved at genbruge et clientmessageid, forfalske afsendere af notifikationer, ændre viste navne i private chats og forfalske opkalder-id'er i lyd- og videoopkald.

Legitime værktøjer i kriminelle hænder

Grunden til, at dette fungerer i stor skala, er arkitektonisk, ikke adfærdsmæssig. Næsten alle komponenter er godkendt. Quick Assist leveres som standard på Windows 11 og aktiveres af en sekscifret kode; MSI-installationsprogrammerne er digitalt signeret og hostes i personlig Microsoft-cloudlagring; den skadelige hostfxr.dll sideloader sig selv i en legitim proces og dekrypterer først A0Backdoor, når den er placeret i hukommelsen, hvor de fleste endpoint-inspektioner allerede har afsluttet sit arbejde.

Selv kommando- og kontrolfunktioner gemmer sig i det åbne: i stedet for de TXT-registrerede DNS-tunneler, som modne sikkerhedsoperationscentre har lært at markere, koder A0Backdoor sine instruktioner i DNS MX-forespørgsler.

Tid til fælles styring

Så hvordan ser governance ud, når angribere bruger dine egne arbejdsgange som våben mod dig ved hjælp af funktioner, der er aktiveret som standard?

Udgangspunktet er en nærmere undersøgelse af disse funktioner, sammen med deaktivering af funktioner, der muligvis er indstillet som standard. Sikkerhedsteams kan afvise B2B-chatinvitationer ved at ændre standardindstillingen i Set-CsTeamsMessagingPolicy. De kan basere Quick Assist til en kendt supportworkflow, mens de behandler Teams ChatCreated-hændelser som et førsteklasses signal sammen med slutpunkts- og identitetstelemetri.

Men det er ikke beslutninger, der bør træffes uafhængigt. Disse angreb fungerer netop fordi ingen enkelt ejer ser nok til at handle. Identitetsteamet har intet signal i en ChatCreated-hændelse, det ikke forbruger, mens SOC'en ikke har nogen regel for en MX-forespørgsel, det aldrig har undersøgt. En samlet styringstilgang involverer en samlet end-to-end-visning af de virksomhedsarbejdsgange, der bruger dem.

Et integreret styringssystem (IMS) er det organiserende princip for en end-to-end styringsworkflow. I henhold til ISO 27001 kan sikkerheds- og styringsteams f.eks. gennemgå eksterne chatpolitikker i henhold til adgangsreglerne i A.5.15. Organisationer kan sætte fokus på DNS MX-kanalen ved at beslutte at overvåge MX i stedet for kun TXT i henhold til A.8.16 (overvågningsaktiviteter). Den slags fælles tænkning kan føre til, at ChatCreated og MX-telemetri vises på den samme analytikers skærm.

På samme måde hører Quick Assist-skærmdelingen under desktop engineering under A.8.2 (privilegerede adgangsrettigheder, inklusive fjernskrivebordsværktøjer). MFA-prompten, den omgår, falder ind under A.5.15 (IAM), mens MSI-installationerne kan overvåges systematisk under A.8.19 (softwareinstallation).

En samlet forståelse af disse risici baner også vejen for bedre håndtering af hændelser. Hvis du har integreret denne type risiko i din kontrolramme, er det lettere at behandle en kompromis via samarbejdssoftware som et anerkendt scenarie og udarbejde en handlingsplan for dette under afsnit A.5.24 (planlægning og forberedelse af hændelser).

ISO 27001 er det logiske hjem for den slags arbejde, fordi det tvinger identitet, adgang og hændelsesrespons til at være placeret i ét kontinuerligt revideret system i stedet for tre sæt af usammenhængende kontrolejere. Det er præcis det hul, som Storm-1811 og dens efterfølgere bliver ved med at gå igennem.