Útočníci zneužívajú Microsoft Teams, SharePoint a Google Drive na nasadenie Nimbus RAT. Kompromitácia firemného endpointu za menej ako 20 minút — zistite, ako sa brániť.
Ako útok vyzerá v praxi
Kampaň začína tzv. email bombingom — obeť dostane v krátkom čase stovky legitímnych odberových e-mailov, čo vyvolá chaos a pocit urgentnej situácie. Krátko nato ju kontaktuje útočník cez Microsoft Teams, vydávajúci sa za interného IT pracovníka alebo helpdesk. Presvedčí ju spustiť Windows Quick Assist a poskytnúť vzdialený prístup k zariadeniu.
Záverečný payload — Java-based remote access trojan s názvom Nimbus RAT — si útočník stiahne zo SharePointu kompromitovaného Microsoft 365 tenanta. Tým si zachováva ilúziu legitímnosti, keďže traffic pochádza z dôveryhodného firemného úložiska. Po spustení malvér nadväzuje šifrovanú komunikáciu so svojou C2 infraštruktúrou — a tou infraštruktúrou nie sú žiadne podozrivé servery, ale Google Drive a Google Sheets.
Prečo je tento útok mimoriadne ťažko detekovateľný
Nimbus RAT nekomunikuje cez tradičnú škodlivú infraštruktúru. Príkazy sťahuje z útočníkom kontrolovaných súborov na Google Drive a exfiltrované dáta nahrává rovnakým spôsobom. Výsledkom je sieťový traffic, ktorý je na prvý pohľad nerozoznateľný od bežnej firemnej cloudovej aktivity.
Malvér je modulárny a podporuje spúšťanie ľubovoľných príkazov, manipuláciu so súborovým systémom, prístup do registrov, vytváranie snímok obrazovky a in-memory spúšťanie ďalších payloadov. Obsahuje tiež dvojitý mechanizmus kradnutia prihlasovacích údajov — falošné okno Windows Security a priame volanie systémového API.
Rozsah kampane
Telemetria eSentire zaznamenala za 12 mesiacov 1 540 podozrivých Teams interakcií naprieč 172 organizáciami, pričom výrazný nárast bol pozorovaný medzi decembrom 2025 a marcom 2026. Takmer 65 % útokov pochádzalo z throwaway Microsoft 365 tenantov využívajúcich domény onmicrosoft.com, ktoré napodobňovali IT podporu. V niektorých prípadoch útočníci zneužívali aj legitímne kompromitované tenantov, čo ešte zvyšovalo dôveryhodnosť komunikácie.
Jedným z primárnych cieľov bola organizácia z právneho sektora — čo nie je náhoda. Právne firmy spracúvajú citlivé klientske dáta a patria medzi preferované ciele útočníkov s finančnou motiváciou.
Čo to znamená pre prax
Útok v celom svojom priebehu nezneužíva žiadnu technickú zraniteľnosť — stavia výhradne na sociálnom inžinierstve a dôvere zamestnancov voči interným nástrojom. Microsoft Teams, SharePoint, Google Drive — to sú platformy, ktoré organizácie nemôžu jednoducho zablokovať. Obrana preto musí byť postavená na behaviorálnej detekcii, nie na blokácii domén.
Konkrétne odporúčania: obmedzte alebo zakážte Quick Assist v prostredí mimo IT tímu, monitorujte náhle nárasty objemu e-mailov v schránkach, sledujte spúšťanie javaw.exe z neštandardných adresárov a nasaďte EDR riešenie s behaviorálnou detekciou schopnou korelovať aktivitu naprieč vrstvami.
Z pohľadu GDPR a NIS2 je potrebné pripomenúť, že kompromitácia endpointu s prístupom k firemným alebo klientskym údajom predstavuje potenciálny bezpečnostný incident, ktorý si vyžaduje posúdenie povinnosti notifikácie Úradu na ochranu osobných údajov SR.
