黑客利用Teams消息在Windows系统上执行恶意软件

一种新的复杂攻击活动，网络犯罪分子利用 Microsoft Teams 来传播恶意软件并保持对公司网络的持续访问。

这些攻击代表了社会工程策略的演变，专门通过一种新技术针对 Windows 系统，安全专家称该技术是对企业安全的重大威胁。

2025 年 3 月，ReliaQuest 发现了一个复杂的攻击链，涉及 Microsoft Teams 网络钓鱼，它部署了一种以前未见过的持久性方法，称为 TypeLib 劫持。

攻击者冒充 IT 支持人员，通过 Teams 向员工发送网络钓鱼消息，利用该平台在组织内的可信地位。

“攻击始于对手通过 Microsoft Teams 向我们客户的员工发送网络钓鱼消息，”ReliaQuest 对网络安全新闻说。“攻击者使用显示名称为'技术支持'的欺诈性 Microsoft 365 租户冒充 IT 人员”。

建立联系后，攻击者说服受害者启动 Windows 内置的“快速助手”工具，从而远程访问受害者的系统。

这种方法反映了 2024 年和 2025 年初观察到的更广泛趋势，其中超过 60% 的动手键盘事件利用了合法工具。

新颖的持久性技术

使这些攻击特别令人担忧的是 TypeLib 劫持的实现，这是一种持久性技术，最初由安全研究人员提出理论，但现在在实际攻击中观察到。此方法涉及纵 Windows 注册表以将合法的 COM 对象重定向到托管在外部 URL 上的恶意脚本。

新颖的攻击技术

“如果 explorer.exe 调用 LoadTypeLib（） 函数，并且我们劫持了名字对象所需的注册表项，则该名字对象将在 explorer.exe 内部实例化，并执行其代码，”最初发现该技术的研究人员解释说。

这允许攻击者保持持久访问，该访问在系统重启后自动重新激活。

安全专家已将这些技术与 Storm-1811 联系起来，Storm-1811 是一个已知部署 Black Basta 勒索软件的威胁组织。然而，ReliaQuest 指出，这些攻击显示了以前与 Black Basta1 相关的威胁行为者之间演变或可能碎片化的证据。

这些活动展示了精确的目标定位，攻击时间在当地时间下午 2：00 到 3：00 之间，此时员工可能不太警惕。攻击者专门针对高管级员工，并表现出一种专注于名字听起来像女性的员工的模式。

Microsoft 承认，自 2024 年 4 月以来，Teams 网络钓鱼攻击显着增加，这导致了许多与端点相关的安全事件。Microsoft Teams 的默认配置允许来自外部域的通话和聊天，已成为威胁行为者利用的关键漏洞。

网络安全公司 Sophos 观察到多个威胁行为者采用类似技术，包括可能与 FIN7 有关的团体。

为了抵御这些攻击，安全专家建议在 Microsoft Teams 中对外部通信实施严格控制，启用多因素身份验证，并定期进行用户意识培训。组织还应强化 Windows 系统，以防止通过 TypeLib 劫持执行恶意代码。

随着远程工作仍然成为普遍做法，Microsoft Teams 等协作平台仍然是攻击者的主要目标，他们希望绕过传统的电子邮件安全措施并利用员工对企业通信工具的信任。

原文来自: cybersecuritynews.com