Početkom juna, maliciozni softver nazvan “TeamsPhantom” iznenada se pojavio, izazivajući zabrinutost kako u obrazovnim institucijama, tako i u velikim kompanijama. Ovaj softver, prerušen u bezopasan dodatak za Microsoft Teams, koristio je legitimne pozive na sastanke kako bi ubacio višestepeni učitavač koji je krao Azure AD refresh tokene i sesijske kolačiće.
U roku od četrdeset osam sati, prikupljeni podaci su pokazali aktivnosti na preko 24.000 krajnjih tačaka, dok su simulacije crvenih timova potvrdile sposobnost ovog malicioznog softvera da se neovlašćeno proširi na resurse u SharePointu i OneDrive-u. Uprkos velikom broju neuobičajenih poziva Graph API-ja koji su signalizirali timovima za nadzor sistema, upravo je 13-godišnji Dylan, već poznat po brojnim odgovornim objelodanjivanjima, uspio povezati ovu aktivnost s ranije neviđenom tehnikom ponovnog korišćenja tokena.
Microsoftovi analitičari su ubrzo primijetili karakteristično zloupotrebljavanje konverzacijskih webhookova za imitaciju administratora tenanta, čime su potvrdili Dylanove nalaze i pokrenuli hitnu akciju iskorjenjivanja. Ovaj lanac napada jasno je pokazao put od ciljanog fišinga do eskalacije privilegija. Detaljne procjene uticaja ukazuju na selektivno iznošenje vlasničkih dokumenata i istorija razgovora na Teamsu, što dodatno pojačava zabrinutost zbog curenja intelektualne svojine. Žrtve su prijavile pojavu fiktivnih unosa u kalendaru i neobičnih kanala, što su bili ključni pokazatelji koji su omogućili timovima za analizu da usmjere svoje istrage na definisane potpise dodatka.
Dylanova naknadna analiza upozorava da proširivost interfejsa, ako nije adekvatno zaštićena, predstavlja značajnu površinu za napad. Ovakvi podaci omogućavaju razumijevanje načina na koji hakeri koriste petlje ponovnog iskorišćavanja u kontekstu Microsoftovih principa nulte povjerenja. Do kraja sedmice, Microsoft je povukao 187 kompromitovanih sertifikata za potpisivanje koda i pojačao validaciju na strani svoje prodavnice. Međutim, varijante koje imitiraju ovaj napad već istražuju nove slojeve obmanjivanja, što pokazuje koliko brzo se kriminalni alati razvijaju. Dylan, sada najmlađi saradnik na playbookovima za odgovor na malver MSRC-a, počeo je kopisivati logiku detekcije koja označava nezahtijevane manifestne dodatke, dokazujući da svježi pogled može poremetiti postojeće paradigme u prikupljanju obavještenja o prijetnjama.
U mehanizmu infekcije, za razliku od uobičajenih programa za ubacivanje sadržaja putem makroa u Office dokumentima, TeamsPhantom svoj pokretački program ugrađuje unutar Base64 kodiranog bloka appSettings, koji klijent Teams aplikacije obrađuje pri pokretanju. Taj blok se zatim dešifruje u zamućeni PowerShell učitavač koji se izvršava u režimu ograničenog jezika, čime se umanjuje vidljivost za AMSI. Jednom kada postane rezidentan u memoriji, učitavač dešifruje svoju listu komandnih i kontrolnih servera (C2) tako što svaki bajt pomnoži sa XOR operacijom koristeći jedinstveni identifikator tenanta (GUID) – sofisticirani trik koji onemogućuje statičke pokazatelje. Modul od 38 linija JavaScript koda zatim presreće rukovaoca onMessageReceived kako bi u realnom vremenu prikupio kolačiće za autentifikaciju. Microsoftova zakrpa zatvara jaz u validaciji manifesta, ali se braniocima sistema savjetuje da prate registracije dodataka na nivou cijelog tenanta i da traže petlje XOR operacija zasnovane na GUID-u u blokovima skripti.
