Aanvallers maken steeds vaker gebruik van Microsoft Teams om zich als helpdeskmedewerker voor te doen en zo toegang tot systemen te krijgen en data te stelen, aldus Microsoft. De aanvallers sturen hun slachtoffer via Teams een bericht dat ze een beveiligingsupdate moeten installeren of hun account moeten verifiëren. Vervolgens wordt er gevraagd om een remote supporttool te starten, zoals Quick Assist, waarmee de aanvallers toegang tot het systeem van het slachtoffer krijgen.

Vervolgens voeren de aanvallers een aantal commando's uit om hun rechten en het netwerk in kaart brengen. Vervolgens plaatsen de aanvallers DLL's op locaties zoals ProgramData en voeren deze uit door middel van DLL-sideloading via legitieme, ondertekende applicaties.

De aanvallers maken vervolgens gebruik van Windows Remote Management (WinRM) om zich lateraal door het netwerk te bewegen en zo toegang tot systemen in hetzelfde domein te krijgen. Vervolgens wordt er aanvullende remote management software geïnstalleerd en data via Rclone of soortgelijke tools naar externe cloudopslag gestuurd.

Microsoft adviseert gebruikers om externe Teams-berichten als onbetrouwbaar te beschouwen en wijst naar de beveiligingswaarschuwingen van Teams die duidelijk maken dat als het om communicatie van personen buiten de organisatie gaat het mogelijk om phishing gaat. Daarnaast wordt aangeraden om het gebruik van remote supporttools te beperken of nauwlettend te monitoren en WinRM altijd alleen vanaf vertrouwde systemen toe te staan.