更多全球网络安全资讯尽在邑安全
一种复杂的多阶段攻击,威胁行为者利用 Microsoft Teams 提供恶意负载,建立持久性和对公司网络的远程访问。
这种新的攻击媒介利用 Teams 作为内部业务应用程序的安全性,使攻击者能够绕过传统的电子邮件安全控制。
安全公司 Ontinue 的网络防御中心最近记录了一起事件,攻击者结合使用社会工程、电话钓鱼(语音网络钓鱼)和合法远程访问工具来破坏系统。
攻击方法和复杂链
攻击始于威胁行为者向目标发送包含恶意 PowerShell 命令的 Microsoft Teams 消息。
“该行为者直接通过 Teams 消息传输了 PowerShell 命令,并利用 QuickAssist 远程工具远程访问目标设备,”调查人员指出。
这个初始访问阶段利用了用户对团队通信的信任,尤其是当威胁行为者冒充 IT 支持人员时。
观察到的从目标端点执行的 PowerShell 命令有助于下载第一阶段恶意软件:
执行时,该攻击利用带有合法签名TeamViewer.exe二进制文件的 DLL 旁加载技术来加载恶意TV.dll模块。
这种高级技术有助于绕过安全控制,因为初始可执行文件看起来是合法的并且已正确签名。
JavaScript 后门建立命令和控制
对第二阶段有效载荷的分析揭示了一个通过 Node.js(重命名为 hcmd.exe)执行的基于 JavaScript 的后门,该后门与攻击者的命令和控制基础设施建立了持久连接。
后门包括用于远程连接和命令执行的套接字功能:
这种攻击模式与威胁行为者 Storm-1811 的技术一致,后者以利用电话钓鱼、快速协助和社会工程策略而闻名。
自 2024 年 4 月中旬以来,Microsoft 观察到类似的活动,攻击者在冒充 IT 支持人员打电话之前用垃圾邮件轰炸受害者。
Trend Micro 的安全研究人员还记录了类似的攻击,这些攻击通过 Teams 语音通话传播 DarkGate 恶意软件,受害者被指示下载 AnyDesk 等远程访问应用程序。
检测和缓解
攻击链利用了多种 MITRE ATT&CK 技术,包括:
-
T1105 – 入口工具传输
-
T1656 – 模拟
-
T1219 – 远程访问软件
-
T1218 – 签名二进制代理执行
-
T1197 – BITS 作业
安全专家建议组织阻止或卸载 Quick Assist 和类似的远程监控工具(如果不需要)。此外,组织应考虑禁用与其 Teams 环境的外部连接,以防止此类攻击。
Microsoft 已宣布计划在 Quick Assist 中实施警报,以警告用户潜在的技术支持诈骗。
随着越来越多的人使用 Microsoft Teams 等协作工具,组织需要了解这些工具可能面临攻击风险。这意味着他们需要采取强大的安全措施并提供培训来帮助用户保持安全。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/hackers-leverage-microsoft-teams/
原文始发于微信公众号(邑安全):黑客利用 Microsoft Teams 消息丢弃恶意负载
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论