Брокер первичного доступа KongTuke перешел на Microsoft Teams для атак социальной инженерии, и для получения постоянного доступа к корпоративным сетям требуется всего пять минут. Злоумышленник обманом заставляет пользователей вставить команду PowerShell, которая в конечном итоге доставляет ModeloRAT, что ранее наблюдалось в атаках ClickFix [1, 2]. Брокеры первичного доступа (IAB), такие как KongTuke, обычно продают доступ к сети компании операторам программ-вымогателей, которые используют его для развертывания вредоносного ПО для кражи файлов и шифрования данных. Киберпреступники все чаще используют Microsoft Teams для атак, обращаясь к сотрудникам компаний и выдавая себя за сотрудников ИТ-службы и службы поддержки. Жертв убеждают запустить в своих системах вредоносную команду PowerShell, которая запускает вредоносное ПО «ModeloRAT». Команда PowerShell, использованная в наблюдаемых атаках Источник: ReliaQuest Исследователи ReliaQuest наблюдали за этой активностью и говорят, что это изменение тактики KongTuke, который ранее полагался исключительно на веб-приманки FileFix и CrashFix