Иранская хакерская группа MuddyWater, также известная как Mango Sandstorm, Seedworm и Static Kitten, использовала Microsoft Teams для кражи корпоративных учётных данных. По данным Rapid7, атака в начале 2026 года выглядела как обычное вымогательство, но её главной целью стали скрытая выгрузка файлов и закрепление в сети.

Сценарий опасен для компаний любого размера: злоумышленники не взламывали защиту «в лоб», а убеждали сотрудников сами показать экран, ввести пароль и пройти проверку MFA. Это тот случай, когда фишинг (от англ. phishing — выуживание) переезжает из почты в рабочий чат и становится похож на обычную помощь техподдержки.

Что произошло в Microsoft Teams

Rapid7 описывает атаку как операцию под чужим флагом. Сначала инцидент напоминал действия группы Chaos, которая работает по модели ransomware-as-a-service — «программа-вымогатель как услуга». Такие группы обычно шифруют файлы, угрожают публикацией украденной информации и требуют деньги за восстановление.

Здесь поведение отличалось. Исследователи не увидели типичного массового шифрования файлов. Вместо этого атакующие общались с сотрудниками через Microsoft Teams, подключались к демонстрации экрана, выманивали пароли и влияли на прохождение многофакторной аутентификации, или MFA.

После входа в сеть они изучали окружение, использовали скомпрометированные учётные записи и ставили инструменты удалённого администрирования, включая DWAgent и AnyDesk. Позже жертве отправили письмо с предложением переговоров о выкупе.

Почему это не похоже на обычное вымогательство

Классическая атака вымогателей строится вокруг быстрого давления: заблокировать работу, зашифровать файлы, показать записку с требованием денег. В описанном случае шифрование ушло на второй план или вовсе не стало главной частью операции.

Rapid7 считает, что бренд Chaos мог служить маскировкой. Такой ход сбивает защитников с толку: команда безопасности начинает искать следы финансово мотивированной банды, а не более долгую и скрытную операцию с закреплением внутри инфраструктуры.

Связь с MuddyWater исследователи выводят, в частности, из сертификата подписи кода на имя «Donald Gay». Его уже связывали с вредоносными инструментами кластера, включая загрузчик CastleLoader. В похожих кампаниях эксперты также фиксировали применение готовых инструментов, доступных в криминальной среде, — это усложняет атрибуцию и ускоряет атаки.

Как работает социальная инженерия в рабочем чате

Главный трюк — доверие к привычному каналу. Сотрудник видит запрос в Microsoft Teams и воспринимает его как рабочий контакт, особенно если собеседник представляется ИТ-специалистом, подрядчиком или коллегой из другой команды.

Дальше начинается «ручная» атака. Злоумышленник просит включить демонстрацию экрана, открыть системные настройки, ввести пароль в созданный на месте текстовый файл или подтвердить вход. Внешне это похоже на удалённую диагностику, но фактически сотрудник отдаёт ключи от корпоративной сети.

Похожий риск возникает и за пределами офисных чатов. Фальшивые страницы входа часто подстраивают под популярные запросы вроде «discord web» и «discord login web»: человек уверен, что открывает знакомый сервис, а на деле вводит пароль на поддельной странице.

Мы уже разбирали схожую механику доверия к интерфейсу в материале о том, как фальшивая CAPTCHA заражает компьютеры стилером Vidar. Там жертву тоже не «ломали» технически — её убеждали выполнить действие своими руками.

Чем опасны инструменты удалённого администрирования

DWAgent, AnyDesk и похожие программы сами по себе не вредоносны. Их используют администраторы, службы поддержки и подрядчики. Проблема начинается, когда такой инструмент ставят без заявки, согласования и записи в журнале работ.

В атаке, которую описала Rapid7, удалённый доступ помог злоумышленникам пережить смену паролей и продолжить работу внутри сети. Они могли возвращаться, проверять файлы, перемещаться между системами и готовить выгрузку информации.

Отдельный слой риска — вредоносная цепочка с файлом ms_upd.exe. По описанию исследователей, он собирал сведения о системе и загружал следующие компоненты, включая троян удалённого доступа RAT (от англ. remote access trojan). Такой инструмент может принимать команды, работать с файлами и запускать сценарии PowerShell.

Для компаний это важный сигнал: если инцидент выглядит как вымогательство, расследование всё равно нельзя сводить к поиску шифровальщика. Нужно проверять, не оставили ли атакующие скрытые каналы входа.

Что это значит для российских пользователей и компаний

Российские организации активно используют корпоративные мессенджеры, видеосвязь и удалённую поддержку. Поэтому схема с «помощником из ИТ» легко переносится на любую среду, где сотрудники привыкли быстро подтверждать запросы и не спорить с техподдержкой.

Домашним пользователям тоже стоит сделать вывод. Пароль от почты, облака, банка или личного кабинета нельзя вводить по просьбе собеседника в чате, даже если он говорит уверенно и показывает знакомые термины. Для работы в общественных сетях — например, в кафе, гостинице или аэропорту — полезен сервис безопасного интернет-соединения, но он не заменяет внимательность при вводе паролей.

История также напоминает: утечка не всегда начинается с письма «вы выиграли приз». Иногда достаточно одного созвона, демонстрации экрана и просьбы «подтвердить вход». О том, как отдельная уязвимость может привести к утечке ключей и переписок, мы писали в разборе про проблему Ollama.

Практический вывод: что проверить уже сейчас

  • Запретите внешние запросы в корпоративных чатах для сотрудников, которым они не нужны по работе.
  • Объясните команде простое правило: пароль нельзя вводить в текстовый файл, чат или форму по просьбе собеседника во время звонка.
  • Настройте MFA так, чтобы сотрудник видел контекст входа: устройство, город, приложение и время запроса.
  • Проверьте, какие программы удалённого администрирования стоят на рабочих компьютерах, и удалите лишние.
  • Введите правило: удалённая поддержка подключается только по заявке и только через утверждённый канал.
  • Отслеживайте новые входы в Microsoft Teams и другие рабочие сервисы с необычных устройств и адресов.
  • После подозрительного звонка меняйте пароль, завершайте активные сессии и проверяйте почтовые правила пересылки.
  • При расследовании вымогательства ищите не только шифрование, но и следы выгрузки файлов, новых учётных записей и скрытого удалённого доступа.
Поделиться: