偽のTeamsサポートで新型バックドアを設置 巧妙な手口に要注意：セキュリティニュースアラート

BlueVoyantはTeamsのIT担当者を偽装し、Windowsの遠隔支援機能「Quick Assist」（クイックアシスト）を悪用した新型「A0Backdoor」を確認した。攻撃はメール爆撃から始まり、MSI署名やDNSトンネリングを駆使して検知を回避するという。

[ITmedia エンタープライズ編集部，ITmedia]

　BlueVoyantは2026年3月6日（現地時間）、「Microsoft Teams」（以下、Teams）のIT担当者を装うソーシャルエンジニアリングおよび「Windows」の遠隔支援機能「Quick Assist」（クイックアシスト）を悪用して端末に侵入し、新型バックドア「A0Backdoor」を展開する攻撃を確認したと発表した。

　攻撃はメールスパムによる混乱を利用した接触から始まり、DLLサイドロードとDNSベースの秘匿通信を組み合わせることで企業ネットワーク内での検知回避を図るという。

Teams偽装サポートで侵入、新型バックドア「A0Backdoor」を展開

　攻撃はまず標的組織のユーザーに大量のスパムメールを送り付けるところから始まる。異常に気が付いたユーザーに攻撃者がITサポート担当者を装ってTeamsで連絡を取り、問題解決を名目に遠隔操作を提案する。ユーザーがQuick Assistを使ってアクセスを許可すると、攻撃者は端末上で独自ツールの展開を試み、継続的なアクセスの確保を図る。

　調査した2件の事例では侵入後に配布されたソフトウェアはデジタル署名付きのMSIインストーラー形式となっていた。これらのMSIはMicrosoftの個人用クラウドストレージ領域「my.microsoftpersonalcontent.com」に置かれ、トークン付きダウンロードリンク経由で配布されていた。証明書は2025年7月以降のものを含め複数種類が確認され、攻撃者が長期間にわたり独自ツールを運用している可能性が示唆される。

　MSIパッケージ内部にはTeamsや「CrossDeviceService」を装うソフトウェアが含まれており、ユーザー環境の特定ディレクトリに展開される仕組みとなっていた。特に「.NET」関連コンポーネントとして知られる「hostfxr.dll」が改ざんされ、正規DLLの代わりに攻撃者が署名した偽装DLLが配置されることでDLLサイドロードが成立する。

　このDLLは内部に暗号化されたデータを保持し、実行時に復号してシェルコードをメモリで実行するローダーとして機能する。解析妨害のため大量のスレッド生成を実行する仕組みも組み込まれており、デバッガー使用時には解析環境の動作を遅延させる効果が確認された。

　復号後のシェルコードは追加のデータを解読し、実行環境を確認する処理を実施する。仮想環境やサンドボックス検知の他、実行時間に基づく計算を使ったタイムスロット処理も確認されており、特定条件外ではペイロードが復号されない設計となっている。コマンドライン末尾の特殊文字も鍵生成に組み込まれており、解析の難易度を高める仕組みとなっていた。

　最終的にペイロードである「A0Backdoor」が復号される。このバックドアは実行時に自身のコードをメモリ領域にコピーし、XOR鍵で内部機能を復号する。感染端末の識別のため、ユーザー名やコンピュータ名などの情報を取得する処理も含まれる。

　A0Backdoorの特徴は、コマンド＆コントロール（C2）通信にDNSトンネリングを利用する点にある。マルウェアはCloudflareの「1.1.1.1」やGoogleの「8.8.8.8」などの公開DNSリゾルバに問い合わせし、その応答に含まれるMXレコードを利用して攻撃者からの命令を取得する。サブドメイン部分には端末識別情報などが埋め込まれ、応答側のMXレコードのホスト名にはコマンド情報が符号化されている。

　この方式では端末が直接攻撃者のサーバに接続する必要がなく、通信先は信頼されたDNSリゾルバのみとなる。そのため一般的なネットワーク監視を回避しやすいという特徴がある。攻撃者は新規ドメイン生成を避け、過去に登録履歴のある短いドメインを再登録して使用していた。これにより、新規登録ドメインを検知するセキュリティ対策を回避する狙いがあるとみられる。

　BlueVoyantは、この攻撃活動が少なくとも2025年8月〜2026年2月にかけて続いていると分析している。手口はセキュリティ企業やMicrosoftなどが報告してきた「Blitz Brigantine（Storm-1811、STAC5777）」と呼ばれる脅威グループの活動と多くの共通点を持つ。このグループはランサムウェア「Black Basta」や「Cactus」と関連する攻撃でも知られている。

　過去の攻撃でも電子メール爆撃、TeamsでのIT担当者偽装、Quick Assistの悪用という初期侵入手順が確認されており、今回の攻撃も同様の流れを踏襲している。ただし、通信方式やマルウェアの構成は変化しており、新しいバックドアの採用やDNSベースのC2通信など、検知回避を意識した改良が進んでいる。

　被害対象は金融機関や医療関連組織の職員が中心で、カナダの金融機関や世界規模の医療関連組織の関係者が含まれていた。BlueVoyantは、公開情報の調査やTeamsの組織間通信機能を利用した標的選定が実行されている可能性が高いと分析している。

　同社は今回の活動を、既存の攻撃グループによる手法改良と位置付けている。MSIインストーラーへのデジタル署名、Microsoftブランドを装った配布パッケージ、クラウドストレージの利用などを組み合わせることで、企業の通常業務に紛れ込む形で侵入が試みられていると指摘した。