【安全资讯】微软警告：Teams平台正被滥用于假冒技术支持攻击

概要：

随着远程办公的普及，协作工具已成为企业运营的核心，但也为网络犯罪分子打开了新的攻击面。微软近期发出警告，威胁行为者正越来越多地滥用Microsoft Teams的外部协作功能，通过假冒IT或技术支持人员，对企业网络发起复杂的多阶段攻击，导致敏感数据面临泄露风险。

主要内容：

攻击者首先通过Teams的跨租户聊天功能，伪装成目标公司的IT或技术支持人员，以解决账户问题或进行安全更新为借口，诱骗员工启动远程协助会话。他们通常利用合法的远程管理工具Quick Assist来获取对员工计算机的直接控制权。

在获得初始访问权限后，攻击者会使用命令提示符和PowerShell进行快速侦察，评估横向移动的潜力。随后，他们通过DLL侧加载技术，利用受信任的签名应用程序（如Autodesk、Adobe Reader）执行恶意代码，建立隐蔽的C2通信通道。

攻击者进一步滥用Windows远程管理（WinRM）协议在企业网络内横向移动，瞄准域控制器等高价值资产。最后，他们使用Rclone等工具，将筛选后的敏感数据外泄至外部云存储服务，整个过程大量使用合法工具和协议，使其活动难以与正常的IT支持行为区分开来。