🎯 Contexte

Publié le 18 avril 2026 par la Microsoft Defender Security Research Team, cet article documente une chaîne d’intrusion complète exploitant les fonctionnalités de collaboration inter-tenant de Microsoft Teams pour mener des attaques d’ingénierie sociale, d’accès distant non autorisé et d’exfiltration de données.

🔗 Chaîne d’attaque

L’intrusion se déroule en plusieurs étapes distinctes :

  • Stage 1 – Contact initial (T1566.003) : L’attaquant initie une communication Teams depuis un tenant externe en se faisant passer pour du personnel IT/helpdesk. Des leurres tels que « Microsoft Security Update », « Spam Filter Update » ou « Account Verification » sont utilisés. Le vishing peut compléter ou remplacer la messagerie.

  • Stage 2 – Prise de contrôle à distance : Après consentement de la victime, l’attaquant obtient un accès interactif via Quick Assist (QuickAssist.exe), suivi de prompts d’élévation via Consent.exe.

  • Stage 3 – Reconnaissance interactive : Dans les 30 à 120 secondes suivant l’accès, l’attaquant exécute des commandes cmd.exe pour vérifier le contexte utilisateur, les privilèges, l’identité du système et l’affiliation au domaine.

  • Stage 4 – Placement de payloads et DLL side-loading : Les payloads sont déposés dans ProgramData et exécutés via DLL side-loading à travers des applications signées légitimes :

    • AcroServicesUpdater2_x64.exe chargeant msi.dll
    • ADNotificationManager.exe chargeant vcruntime140_1.dll
    • DlpUserAgent.exe chargeant mpclient.dll
    • werfault.exe chargeant Faultrep.dll

  • Stage 5 – Validation du contexte et persistance via registre : Un loader intermédiaire déchiffre en mémoire des données de configuration stockées dans le registre utilisateur, sans écriture de fichiers supplémentaires sur disque. Ce comportement est aligné avec le framework Havoc.

  • Stage 6 – Command & Control : AcroServicesUpdater2_x64.exe établit des connexions HTTPS sortantes (TCP 443) vers des infrastructures cloud hébergées dynamiquement, agissant comme implant de beaconing.

  • Stage 7 – Mouvement latéral via WinRM : L’attaquant pivote via WinRM (TCP 5985) vers des systèmes joints au domaine, notamment des contrôleurs de domaine, en utilisant des credentials volés.

  • Stage 8 – Déploiement d’outils RMM supplémentaires : Installation à distance d’une plateforme de gestion commerciale via msiexec.exe pour maintenir un canal de contrôle alternatif.

  • Stage 9 – Exfiltration de données : Utilisation de Rclone avec des paramètres spécifiques (--config rclone_uploader.conf, --transfers 16, --exclude *.mdf) pour transférer des documents métier vers un stockage cloud externe.

🛡️ Détections Microsoft Defender

Microsoft Defender XDR couvre cette chaîne avec des alertes sur :

  • Activité suspecte via Quick Assist
  • DLL side-loading par application de confiance
  • Mouvement latéral multi-appareils
  • Modification suspecte du registre
  • Exfiltration possible via outil de synchronisation

📊 Type d’article

Il s’agit d’une analyse technique publiée par Microsoft, documentant un playbook d’intrusion opéré par des humains (human-operated), avec des requêtes de chasse KQL détaillées pour Microsoft Defender XDR et des indicateurs de détection par phase d’attaque.

🧠 TTPs et IOCs détectés

TTP

  • T1566.003 — Phishing: Spearphishing via Service (Initial Access)
  • T1219 — Remote Access Software (Command and Control)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1021.006 — Remote Services: Windows Remote Management (Lateral Movement)
  • T1112 — Modify Registry (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1087 — Account Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1560 — Archive Collected Data (Collection)
  • T1105 — Ingress Tool Transfer (Command and Control)

IOC

  • Fichiers : AcroServicesUpdater2_x64.exe
  • Fichiers : ADNotificationManager.exe
  • Fichiers : DlpUserAgent.exe
  • Fichiers : msi.dll
  • Fichiers : vcruntime140_1.dll
  • Fichiers : mpclient.dll
  • Fichiers : Faultrep.dll
  • Fichiers : rclone_uploader.conf
  • Chemins : C:\ProgramData\Adobe\ARM\
  • Chemins : C:\ProgramData\Microsoft\DeviceSync\
  • Chemins : D:\ProgramData\Adobe\ARM\
  • Chemins : D:\ProgramData\Microsoft\DeviceSync\

Malware / Outils

  • Quick Assist (tool)
  • Havoc (framework)
  • Rclone (tool)
  • AcroServicesUpdater2_x64.exe (loader)
  • ADNotificationManager.exe (loader)
  • DlpUserAgent.exe (loader)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ✅ microsoft.com — source reconnue (liste interne) (20pts)
  • ✅ 32320 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 12 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 16 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/04/18/crosstenant-helpdesk-impersonation-data-exfiltration-human-operated-intrusion-playbook/