黑客利用 Microsoft Teams 消息丢弃恶意负载

admin 2025年4月2日22:26:09评论1 views字数 1235阅读4分7秒阅读模式

更多全球网络安全资讯尽在邑安全

黑客利用 Microsoft Teams 消息丢弃恶意负载

一种复杂的多阶段攻击,威胁行为者利用 Microsoft Teams 提供恶意负载,建立持久性和对公司网络的远程访问。

这种新的攻击媒介利用 Teams 作为内部业务应用程序的安全性,使攻击者能够绕过传统的电子邮件安全控制。

安全公司 Ontinue 的网络防御中心最近记录了一起事件,攻击者结合使用社会工程、电话钓鱼(语音网络钓鱼)和合法远程访问工具来破坏系统。

攻击方法和复杂链

攻击始于威胁行为者向目标发送包含恶意 PowerShell 命令的 Microsoft Teams 消息。

“该行为者直接通过 Teams 消息传输了 PowerShell 命令,并利用 QuickAssist 远程工具远程访问目标设备,”调查人员指出。

这个初始访问阶段利用了用户对团队通信的信任,尤其是当威胁行为者冒充 IT 支持人员时。

观察到的从目标端点执行的 PowerShell 命令有助于下载第一阶段恶意软件:

黑客利用 Microsoft Teams 消息丢弃恶意负载

执行时,该攻击利用带有合法签名TeamViewer.exe二进制文件的 DLL 旁加载技术来加载恶意TV.dll模块。

这种高级技术有助于绕过安全控制,因为初始可执行文件看起来是合法的并且已正确签名。

JavaScript 后门建立命令和控制

对第二阶段有效载荷的分析揭示了一个通过 Node.js(重命名为 hcmd.exe)执行的基于 JavaScript 的后门,该后门与攻击者的命令和控制基础设施建立了持久连接。

后门包括用于远程连接和命令执行的套接字功能:

黑客利用 Microsoft Teams 消息丢弃恶意负载

这种攻击模式与威胁行为者 Storm-1811 的技术一致,后者以利用电话钓鱼、快速协助和社会工程策略而闻名。

自 2024 年 4 月中旬以来,Microsoft 观察到类似的活动,攻击者在冒充 IT 支持人员打电话之前用垃圾邮件轰炸受害者。

Trend Micro 的安全研究人员还记录了类似的攻击,这些攻击通过 Teams 语音通话传播 DarkGate 恶意软件,受害者被指示下载 AnyDesk 等远程访问应用程序。

检测和缓解

攻击链利用了多种 MITRE ATT&CK 技术,包括:

  • T1105 – 入口工具传输

  • T1656 – 模拟

  • T1219 – 远程访问软件

  • T1218 – 签名二进制代理执行

  • T1197 – BITS 作业

安全专家建议组织阻止或卸载 Quick Assist 和类似的远程监控工具(如果不需要)。此外,组织应考虑禁用与其 Teams 环境的外部连接,以防止此类攻击。

Microsoft 已宣布计划在 Quick Assist 中实施警报,以警告用户潜在的技术支持诈骗。

随着越来越多的人使用 Microsoft Teams 等协作工具,组织需要了解这些工具可能面临攻击风险。这意味着他们需要采取强大的安全措施并提供培训来帮助用户保持安全。

原文来自: cybersecuritynews.com

原文链接: https://cybersecuritynews.com/hackers-leverage-microsoft-teams/

原文始发于微信公众号(邑安全):黑客利用 Microsoft Teams 消息丢弃恶意负载

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月2日22:26:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 Microsoft Teams 消息丢弃恶意负载https://cn-sec.com/archives/3907424.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息