快速入口: Teams官网 | Teams下载 | Teams网页版登录
行为安全公司 Abnormal AI Inc. 今天发布的一份新报告详细说明了攻击者如何利用用户对日常职场沟通工具的信任,来投递远程访问恶意软件。
报告指出,一项正在进行的攻击活动通过逼真的冒充手法,伪装成 Zoom 和 Microsoft Teams 等视频会议平台,诱骗用户安装 ConnectWise ScreenConnect。这是一款合法的远程监控与管理工具,但一旦被滥用,就能让攻击者完全控制受害者的系统。
网络钓鱼攻击并不新鲜,但本次行动的特别之处在于,它通过说服目标安装他们认为是标准的企业软件来展开。潜在受害者会收到来自已被攻陷账户的邮件,增加了真实性,并且常常包含一些有时效性的钓鱼诱饵,如报税季节提醒或会议邀请。
当受害者点击钓鱼邮件中的链接后,会被重定向到由人工智能生成的钓鱼页面,或文件分享平台,从而下载 ScreenConnect。在某些情况下,链接甚至会直接指向实时的 ScreenConnect 会话,从而完全跳过安装步骤。
攻击者并不仅仅依赖社会工程学。本次活动还使用了一系列混淆技术,例如 SendGrid 域名包装、开放重定向漏洞 和 Cloudflare Workers 托管,以隐藏恶意链接。报告指出,这些手法之所以危险,是因为流量看起来来源于可信服务商,即使是高级检测系统也很难发现。
攻击者还会利用 Base64 编码 对链接进行分段,以逃避基于特征码的安全工具。
一旦 ScreenConnect 被安装,攻击者便可获得管理员级别权限,横向移动、窃取凭证,并在受害环境中发起二次钓鱼攻击。Abnormal AI 的研究人员观察到,攻击者会在正在进行的邮件线程中插入恶意链接,使攻击看起来就像是合法业务对话的自然延续。
这一方法在黑客社区中也越来越受欢迎。报告显示,暗网卖家正在销售预先打包的 “ScreenConnect 革命”工具包,其中包含隐藏的虚拟网络计算(VNC)功能、Windows Defender 绕过手段以及会话恢复功能。
一些卖家甚至提供“一站式部署”,售价低至 6,000 美元,并附带培训和售后支持,相当于提供“远程访问木马即服务”。另一些卖家则直接出售已攻陷的网络访问权限,这些网络往往包含数百台主机,售价在 500 到 2,000 美元之间。
研究人员估计,已有超过 900 家组织受到攻击,涉及教育、宗教机构、医疗、金融服务、保险和科技等行业。虽然大多数受害者在美国,但加拿大、英国和澳大利亚的组织也受到了影响。
报告最后总结道:
“这一行动是一个关键提醒:现代威胁越来越多地武器化可信系统,而不是绕过它们。”
Abnormal 的研究人员建议企业采取以下防御措施:
1.部署 AI 驱动的邮件安全防护; 2.加强 终端监控,防止未授权的远程工具; 3.采用零信任架构; 4.更新员工的 安全意识培训,帮助他们识别可疑行为。
延伸阅读 #
常见问题(FAQ) #
- 问:如何快速开始使用Teams? 答:通过“快速入口”完成下载/登录,创建团队与频道开始沟通与协作。
- 问:Teams支持哪些平台? 答:Windows、macOS、Android、iOS、Web全平台覆盖。
- 问:如何获取帮助与支持? 答:访问微软官方支持或查看站内“延伸阅读”文章。