Väärä IT-tuki soittaa Teamsissä – verkko murretaan viidessä minuutissa
Rikollisryhmä on siirtänyt huijauksensa verkkoselaimesta suoraan työpaikan chattiin. Teamsiin saapuu viesti "Help Deskiltä", ja jos vastaanottaja tottelee, koko verkko on auki viidessä minuutissa.
Tiivistelma
Yrityksiin pääsyä myyvä KongTuke-ryhmä on alkanut lähestyä uhreja Microsoft Teamsin kautta esiintyen IT-tukena. Tietoturvayhtiö ReliaQuestin mukaan murto vie noin viisi minuuttia siitä, kun uhri liittää chatissa saamansa komennon Suorita-ikkunaan. Sama tekniikka on jo tunnistettu Suomessa.
Microsoft Teams on auki lähes joka suomalaisessa työpaikassa ja julkishallinnossa. Juuri siksi rikolliset ovat alkaneet käyttää sitä sisäänkäyntinä.
Tietoturvayhtiö ReliaQuest kertoo, että yrityksiin pääsyä myyvä ryhmä on vaihtanut huijauskanavaansa. Aiemmin ryhmä houkutteli uhreja verkkosivuilla tutulla "päivitä selaimesi" -valeviestillä. Nyt sama porukka lähestyy työntekijöitä suoraan Teams-chatissa.
Ryhmä tunnetaan nimillä KongTuke, LandUpdate808 ja TAG-124. Se on niin kutsuttu alkupääsyn välittäjä. Ryhmä murtautuu verkkoon ja myy hankkimansa pääsyn eteenpäin, historiallisesti kiristyshaittaohjelmaryhmille.
Alkupääsyn välittäjä (initial access broker)
Alkupääsyn välittäjä ei itse kiristä rahaa. Se erikoistuu yhteen vaiheeseen: murtautuu yrityksen verkkoon ja myy valmiin pääsyn eteenpäin muille rikollisille. Siksi yksi huolimaton klikkaus voi päätyä kiristyshaittaohjelmana viikkoja myöhemmin.
Näin viiden minuutin murto etenee
Hyökkäys alkaa ulkopuolisesta Teams-chatista. Viesti tulee kertakäyttöisestä Microsoft 365 -tilauksesta, ja ReliaQuest havaitsi viisi tällaista tiliä, joita kierrätettiin estojen välttämiseksi.
Lähettäjän näyttönimi on väärennetty. Siihen on ujutettu näkymättömiä Unicode-välilyöntejä niin, että nimi lukee "Help Desk" tai "IT Support". Tekosyy vaihtelee: tili on lukkiutunut, sähköpostilaatikossa on vika tai varmenne on vanhentunut.
Sitten tulee ratkaiseva pyyntö, jossa uhria kehotetaan liittämään PowerShell-komento Windowsin Suorita-ikkunaan.
Komento lataa hiljaa ZIP-tiedoston Dropboxista. Paketti sisältää aidon, digitaalisesti allekirjoitetun Python-ajoympäristön – juuri allekirjoitus tekee siitä virustorjunnan silmissä luotettavan. Sen suojissa käynnistyy Python-pohjainen haittaohjelma.
ReliaQuestin mittaama aikajana on varsin tiivis. Python-ajoympäristö laskeutuu koneelle noin 90 sekunnissa, tiedustelu alkaa noin kahdessa minuutissa ja komentopalvelinyhteys sekä pysyvyys ovat valmiina viiden minuutin kohdalla.
– Ketju tuottaa pysyvän pääsyn viidessä minuutissa siitä, kun käyttäjä liittää yhden ainoan PowerShell-komennon, ReliaQuest kuvailee löydöstään.
Pysyvyys varmistetaan neljällä tavalla: rekisterin Run-avaimella, käynnistyskansion pikakuvakkeella, VBS-käynnistysskriptillä ja SYSTEM-tason ajastetulla tehtävällä. Kun työkalupakki tuhoaa itsensä, se poistaa niistä vain kolme. Ajastettu tehtävä jätetään tarkoituksella jäljelle.
Levitettävä haittaohjelma on nimeltään ModeloRAT. Se kartoittaa verkon, ajaa piilotettua PowerShelliä, ottaa kuvakaappauksia, vie tiedostoja ulos ja osaa päivittää itsensä.
Koko ketju on rakennettu välttämään huomiota. Allekirjoitettu Python-ajoympäristö ei herätä virustorjuntaa, ja jäljelle jätetty ajastettu tehtävä antaa hyökkääjälle paluuoven silloinkin, kun muu jälki on jo siivottu.
Sama käsikirjoitus on jo nähty Suomessa
Tekniikka ei ole suomalaisille uusi. Kyberturvallisuuskeskus varoitti jo 27. elokuuta 2025, että IT-tukena esiintyvät hyökkääjät lähestyvät organisaatioita Teams-puheluilla ja -viesteillä.
Niissä tapauksissa hyökkääjät ohjasivat uhrit etähallintatyökalujen pariin, kuten AnyDeskiin tai Quick Assistiin. KongTuke-kampanja on sama käsikirjoitus, mutta kehittyneempänä. Etähallintatyökalun tilalla on liitettävä komento, joka vie murron maaliin nopeammin ja hiljaisemmin.
Onko KongTuke iskenyt nimenomaan Suomeen? Sitä ei ole toistaiseksi vahvistettu. Olennaista on, että itse tekniikka on jo täällä tunnettu ja se on selvästi kehittymässä.
Tunnistusmerkit
- Teams-yhteyshenkilö on merkitty ulkopuoliseksi eli oman organisaatiosi ulkopuolelta tulevaksi.
- Lähettäjän nimi on "Help Desk" tai "IT Support", etkä tunnista yhteyshenkilöä.
- Viestissä on kiire: tili on muka lukossa ja asia pitää korjata heti.
- Tärkein merkki: sinua kehotetaan liittämään tai suorittamaan komento, avaamaan Suorita-ikkuna tai asentamaan jokin työkalu.
Mitä tehdä
- Älä koskaan suorita komentoa, jonka joku lähettää sinulle chatissa. Aito IT-tuki ei toimi näin.
- Varmista yhteydenpitäjä organisaatiosi tunnetun sisäisen kanavan kautta, ei chatin vastausnapista.
- Suhtaudu epäluuloisesti Teams-viesteihin, joiden lähettäjä on merkitty ulkopuoliseksi.
- Organisaatiot voivat rajata Teamsin ulkoisen federoinnin sallittujen toimialueiden listaan. Tämä katkaisee kertakäyttöisten tilien lähestymisreitin.
- Ilmoita tietoturvapoikkeamista Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Teams tuntuu työpaikan sisäiseltä tilalta, ja juuri se on huijarin valttikortti. Sähköpostissa ihmiset osaavat jo epäillä, mutta chat-viestiin luotetaan hyvin herkästi.
Yksikään aito tukipyyntö ei kuitenkaan lopu siihen, että sinua käsketään liittämään komento. Se on aina hälytysmerkki, kuulosti lähettäjä kuinka kiireiseltä tai viralliselta tahansa.