Wenn der Helpdesk zur Bedrohung wird

Wenn der Helpdesk die Bedrohung ist

By Danny Bradbury • 28. Mai 2026 • 5 Minuten Lesezeit

Alte Social-Engineering-Angreifer verschwinden nie; sie entwickeln sich nur weiter und werden besser. Hier ist die Geschichte einer Angriffsgruppe, die dreist genug ist, Infrastrukturen im Verborgenen zu kompromittieren, und Ratschläge, was man dagegen tun kann.

Ende Mai 2024 beobachtete Microsoft, wie eine finanziell motivierte Cyberkriminellengruppe, die sie unter dem Namen Storm-1811 verfolgt, etwas tat, wofür herkömmliche Perimeterkontrollen nicht ausgelegt waren – sie meldete sich bei Teams an, sagte Hallo und bat um Hilfe.

Das Threat-Intelligence-Team des Cloud- und Softwaregiganten hatte bereits dokumentiert Dieselbe Gruppe, die das Fernwartungstool Quick Assist bereits seit Mitte April des Jahres missbrauchte, nutzte mit dem Wechsel zu Teams eine neue Angriffsfläche. Storm-1811, so die Analysten von Microsoft, „ist eine finanziell motivierte Cyberkriminellengruppe, die für den Einsatz der BlackBasta-Ransomware bekannt ist“. Die von ihnen für die Operation registrierten Mandanten trugen so generische Anzeigenamen, dass sie unbemerkt blieben: „Helpdesk“, „IT-Helpdesk“, „Helpdesk-Support“, „IT-Support“.

Seitdem hat sich dieses Muster fortgesetzt. Am 4. November letzten Jahres hat ein externer Benutzer in einer Kundenumgebung angemeldet Unter dem Anzeigenamen „IT Support“ und unter Verwendung des Kontos mostafa.s@dhic.edu.eg hatten sie innerhalb von achtundzwanzig Minuten eine Quick-Assist-Bildschirmfreigabesitzung mit einem Zielobjekt eröffnet, das glaubte, mit Kollegen zu sprechen.

Fünf Monate später, im März dieses Jahres, BlueVoyant veröffentlicht Die forensischen Untersuchungen einer damit zusammenhängenden Kampagne, bei der eine zuvor undokumentierte Payload namens A0Backdoor eingesetzt wurde, kamen zu dem Schluss, dass es sich um eine „Weiterentwicklung der Taktiken, Techniken und Vorgehensweisen der BlackBasta-Ransomware-Gruppe handelt, die sich nach der Veröffentlichung der internen Chatprotokolle der Operation aufgelöst hat“. Die Gruppe hat sich geändert; die Vorgehensweise ist dieselbe geblieben.

Dies ist ein anhaltendes Problem. Teams hat in den letzten vier Jahren zugelassen, dass Betrüger das Vertrauensmodell von innen heraus manipulieren. Check Point Research gab dies in einer Offenlegung bekannt, die von März 2024 bis zum Erscheinen des letzten Patches Ende Oktober 2025 lief. dokumentiert Angreifer könnten Chats unbemerkt überschreiben, indem sie eine ClientMessageID wiederverwenden, Absender von Benachrichtigungen fälschen, Anzeigenamen in privaten Chats ändern und die Identität von Anrufern in Audio- und Videoanrufen fälschen.

Legitime Werkzeuge in kriminellen Händen

Der Grund, warum dies in großem Umfang funktioniert, liegt in der Architektur, nicht im Verhalten. Fast jede Komponente ist autorisiert. Quick Assist ist standardmäßig in Windows 11 enthalten und wird mit einem sechsstelligen Code aktiviert; die MSI-Installationsdateien sind digital signiert und werden im persönlichen Microsoft-Cloudspeicher gehostet; die schädliche hostfxr.dll lädt sich in einen legitimen Prozess ein und entschlüsselt A0Backdoor erst, nachdem sie sich im Speicher befindet, wenn die meisten Endpunktprüfungen ihre Arbeit bereits abgeschlossen haben.

Sogar die Kommando- und Kontrollfunktionen sind gut sichtbar: Anstatt der TXT-Record-DNS-Tunnel, die ausgereifte Sicherheitszentralen mittlerweile erkennen, kodiert A0Backdoor seine Anweisungen in DNS-MX-Abfragen.

Zeit für eine integrierte Regierungsführung

Wie sieht also die Governance aus, wenn Angreifer Ihre eigenen Arbeitsabläufe gegen Sie instrumentalisieren und dabei standardmäßig aktivierte Funktionen nutzen?

Eine genauere Überprüfung dieser Funktionen ist der erste Schritt, ebenso wie die Deaktivierung standardmäßig aktivierter Funktionen. Sicherheitsteams könnten B2B-Chat-Einladungen ablehnen, indem sie die Standardeinstellung in Set-CsTeamsMessagingPolicy ändern. Sie könnten Quick Assist an einen bekannten Support-Workflow anpassen und Teams-ChatCreated-Ereignisse als wichtiges Signal neben Endpunkt- und Identitätstelemetrie behandeln.

Diese Entscheidungen sollten jedoch nicht unabhängig voneinander getroffen werden. Solche Angriffe funktionieren gerade deshalb, weil kein einzelner Verantwortlicher genügend Informationen hat, um handeln zu können. Das Identity-Team erhält kein Signal durch ein ChatCreated-Ereignis, das es nicht verarbeitet, und das SOC hat keine Regel für eine MX-Abfrage, die es nie in seinen Geltungsbereich aufgenommen hat. Ein einheitlicher Governance-Ansatz erfordert eine durchgängige, einheitliche Sicht auf die Unternehmens-Workflows, die diese nutzen.

Ein integriertes Managementsystem (IMS) bildet das Organisationsprinzip für einen durchgängigen Governance-Workflow. Gemäß ISO 27001 können Sicherheits- und Governance-Teams beispielsweise die Richtlinien für externe Chats anhand der Zugriffsregeln unter A.5.15 überprüfen. Organisationen können den DNS-MX-Kanal transparenter gestalten, indem sie gemäß A.8.16 (Überwachungsaktivitäten) die MX-Einträge anstelle der TXT-Einträge überwachen. Durch diese vernetzte Vorgehensweise können ChatCreated- und MX-Telemetriedaten auf demselben Bildschirm eines Analysten angezeigt werden.

Ebenso fällt die Bildschirmfreigabe „Schnellhilfe“ unter die Kategorie Desktop-Engineering gemäß A.8.2 (Privilegierte Zugriffsrechte, einschließlich Remote-Desktop-Tools). Die dadurch umgangene MFA-Abfrage fällt unter A.5.15 (IAM), während MSI-Installationen systematisch gemäß A.8.19 (Softwareinstallation) überwacht werden können.

Ein gemeinsames Verständnis dieser Risiken ebnet auch den Weg für eine bessere Reaktion auf Vorfälle. Wenn Sie diese Art von Risiko in Ihr Kontrollsystem integriert haben, lässt sich eine Kompromittierung durch Kollaborationssoftware leichter als bekanntes Szenario behandeln und ein entsprechendes Vorgehen gemäß Abschnitt A.5.24 (Planung und Vorbereitung des Vorfallmanagements) erstellen.

ISO 27001 ist der logische Rahmen für solche Arbeiten, da es Identität, Zugriff und Reaktion auf Sicherheitsvorfälle in einem einzigen, kontinuierlich geprüften System zusammenfasst, anstatt drei voneinander unabhängigen Verantwortlichen. Genau diese Lücke schließen Storm-1811 und seine Nachfolger immer wieder.

Erweitern Sie Ihr Wissen

Podcast: Phishing-Alarm – Folge 8: Sicherere Software, sichereres Geschäft

Blog: Wie können sich Sicherheitsteams auf eine Zukunft nach dem Mythos vorbereiten?

Blog: Wie Agentic AI eine neue Risikoklasse für Cybersicherheitsteams schafft

Wenn der Helpdesk die Bedrohung ist

Legitime Werkzeuge in kriminellen Händen

Zeit für eine integrierte Regierungsführung

Erweitern Sie Ihr Wissen

Danny Bradbury

Related articles

Cyberkriminalität vs. Geopolitik: Wie Ransomware zu einem geopolitischen Instrument wird

Nordkoreanische IT-Fachkräfte zielen auf Großbritannien ab: Was sollten Sie tun?

Die Governance-Lücke: Warum der EU-Gesetzentwurf zur Bekämpfung von KI der Moment ist, in dem Vorstände die Einhaltung der Vorschriften nicht länger als Problem anderer abtun können.

Mehr von Danny Bradbury

Was der nationale KI-Politikrahmen des Weißen Hauses für die Einhaltung der Vorschriften bedeutet

Der Rückzug der USA aus Cyberabkommen signalisiert ein Unternehmensrisiko

Warum Regulierungsbehörden und Investoren von Unternehmen die Bewältigung eines dreifachen Risikos erwarten