快速入口: Teams官网 | Teams下载 | Teams网页版登录
一个由 EncryptHub 威胁组织发起的复杂社会工程攻击活动,将冒充手段与技术漏洞利用相结合,以入侵企业网络。
这伙与俄罗斯有关联的网络犯罪分子冒充 IT 支持人员,利用 微软Teams 请求建立远程访问,最终通过此前未知的 Windows 漏洞投放恶意载荷。
攻击流程
攻击一开始,黑客冒充内部 IT 部门人员,向目标员工发送 Microsoft Teams 连接请求。
一旦受害者接受请求并建立远程会话,攻击者会引导其执行 看似合法的 PowerShell 命令,实则下载并运行恶意脚本。
首条命令绕过 Windows 安全策略,从攻击者控制的域名(如 cjhsbam[.]com)下载名为 runner.ps1 的脚本。
该脚本用于利用 CVE-2025-26633 漏洞,即微软管理控制台框架中的一个漏洞,被称为 “MSC EvilTwin”。
Microsoft Teams 请求投放恶意软件
MSC EvilTwin 漏洞允许攻击者通过篡改系统加载管理工具的方式,执行恶意的 .msc 控制台文件。
其工作原理是投放两个同名 .msc 文件 —— 一个合法,一个恶意,分别存放在不同目录。
当系统运行合法文件时,由于漏洞机制,会错误地加载位于 MUIPath 目录(通常是 en-US 文件夹) 下的恶意文件。
研究人员解释道:
“当合法的 .msc 文件运行时,会触发 mmc[.]exe 进程。由于 MSC EvilTwin 漏洞,mmc.exe 会优先检查 MUIPath 目录下是否存在同名文件,从而加载恶意版本。”
成功利用漏洞后,恶意软件会在受感染设备上建立持久化,并与 命令与控制(C2)服务器 保持持续通信。
系统会接收 AES 加密的命令,在本地解密并通过 PowerShell 执行,使攻击者获得全面的远程控制权限。
部署的恶意载荷
其中一个载荷是 Fickle Stealer —— 基于 PowerShell 的信息窃取器,能够提取敏感文件、收集系统信息、窃取加密货币钱包数据。
恶意软件还会生成伪造的浏览器流量,访问热门网站,以伪装 C2 通信,使其看似正常的网络活动。
EncryptHub 黑客组织
EncryptHub(也被称为 LARVA-208 和 Water Gamayun)自 2024 年中期以来一直活跃,是一个资金与技术实力雄厚的俄罗斯网络犯罪团伙。
截至 2025 年 2 月,该组织已入侵 全球超过 618 家企业,目标行业包括 Web3 开发商、游戏平台 等。
该组织展现出高度成熟的作战能力,包括滥用合法平台传播恶意软件。
研究人员发现,EncryptHub 利用 Brave 浏览器的官方支持平台 Brave Support 托管包含恶意载荷的 ZIP 压缩包。
这种方法尤其危险,因为上传文件通常需要已有权限的账户。
除了最初利用 Microsoft Teams 进行社会工程攻击外,EncryptHub 还开发了大量定制工具:
SilentCrystal:一个用 Golang 编写的加载器,功能类似于 PowerShell 脚本。
SOCKS5 代理后门:可在客户端和服务端模式下运行。
伪造的视频会议平台(如 RivaTalk):诱骗受害者下载恶意 MSI 安装包。平台甚至设置了访问码下载机制,增加了“可信度”,同时提高了安全分析难度。
漏洞与风险
CVE-2025-26633 于 2025 年 3 月被正式披露为零日漏洞,但研究人员早在 2025 年 2 月就发现相关攻击样本在野外传播。
微软随后发布了安全补丁,但未打补丁的系统仍然持续遭受攻击。
该漏洞的 CVSS 评分为 7.0(高危),并已被列入 CISA 已知被利用漏洞目录,强调其对联邦机构和企业环境的严重威胁。
研究人员结论
这场攻击活动凸显了 社会工程与技术漏洞利用结合的危险性。
“社会工程依然是网络犯罪分子最有效的武器之一,而新兴的 EncryptHub 组织正积极利用这一手段。” —— Trustwave 研究人员指出。
专家建议:
立即打补丁,修复 CVE-2025-26633;
加强对 Microsoft 管理控制台活动的监控;
提高用户安全意识培训,重点针对社会工程手法;
限制远程访问能力,并为 IT 支持交互实施严格的验证机制。
EncryptHub 的行动表明,现代黑客正不断演化手法,将 Microsoft Teams 等可信通信平台 与 高级技术漏洞利用 相结合,以实现其攻击目的。
延伸阅读 #
常见问题(FAQ) #
- 问:如何设置团队与频道权限? 答:通过团队管理设置成员/来宾权限;敏感频道可启用私密频道。
- 问:数据安全如何保障? 答:Teams基于Microsoft 365的安全合规能力,支持加密、DLP与合规记录。
- 问:外部共享如何控制? 答:由管理员在组织策略中配置外部访问与来宾访问范围。