快速入口: Teams官网 | Teams下载 | Teams网页版登录
安全研究人员发现,新一波利用Microsoft Teams投递恶意软件的网络钓鱼攻击正在蔓延。
Microsoft Teams成为高价值目标 #
这些攻击活动由Permiso观察到,攻击者通过伪造IT支持账户,诱骗员工安装远程访问软件,从而直接控制企业系统。
尽管电子邮件钓鱼依旧是最常见的入侵方式,但攻击者越来越多地转向日常协作平台。自 2017 年发布以来,Microsoft Teams已深度融入企业沟通,因此成为了极具吸引力的攻击目标。
Permiso 表示,近期的攻击中,攻击者会创建冒充支持人员的 Teams 账户,名称如 “IT SUPPORT”“Help Desk” 或带部门缩写的别名。有些账户甚至加上勾选符号表情,以假装“已验证”。
尽管这些冒充手段看似简单,但往往能成功,因为员工通常认为 Teams 上的沟通都是可信的。
攻击流程 #
这些攻击的核心目标是获取受害者计算机的控制权。攻击者先与员工建立联系,再诱导其下载 QuickAssist 或 AnyDesk 等远程访问工具。
一旦安装成功,这些程序会让威胁行为者完全控制系统,部署窃取凭证的恶意软件,并建立持久化机制以维持长期访问。
早在 2024 年 5 月,这类攻击手法就与BlackBasta 勒索软件行动相关。而最近的事件则与DarkGate以及Matanbuchus加载器等不同恶意软件家族有关。
在其中一起案例中,研究人员发现,从恶意域名下载的 PowerShell 脚本具备持久化、凭证窃取和与攻击者控制的服务器进行加密通信的能力。
背后组织 #
Permiso 调查人员将这类攻击活动归因于一个以财务利益为动机的威胁团伙 —— EncryptHub(又名 LARVA-208 或 Water Gamayun)。
该组织曾经将社会工程与零日漏洞利用、自研恶意软件相结合,过往行动的目标包括英语国家的 IT 人员、开发者和 Web3 从业者。
Permiso 指出:“该组织在不同攻击活动中重复使用静态加密常量,这是一个显著的操作弱点,使得防御方能够在恶意软件库中追踪其工具链的演变。”
通过利用Microsoft Teams,攻击者绕过了传统的电子邮件防御,将攻击深度嵌入可信的企业工作流中。
防御建议 #
安全团队应重点监控Teams的异常活动,尤其是可能隐藏社会工程攻击的外部通信。
延伸阅读 #
- 黑客滥用Microsoft Teams投递基于PowerShell的远程访问恶意软件
- Teams社区运营秘籍:利用新功能提升群组活跃度与参与感
- 攻击者利用Teams等软件冒充传播ScreenConnect恶意软件
常见问题(FAQ) #
- 问:如何快速开始使用Teams? 答:通过“快速入口”完成下载/登录,创建团队与频道开始沟通与协作。
- 问:Teams支持哪些平台? 答:Windows、macOS、Android、iOS、Web全平台覆盖。
- 问:如何获取帮助与支持? 答:访问微软官方支持或查看站内“延伸阅读”文章。