【安全资讯】新型黑客团伙冒充IT客服，利用Microsoft Teams聊天发起数据窃取攻击

概要：

谷歌威胁情报小组（GTIG）近日发现一个此前未知的黑客团伙UNC6692，利用Microsoft Teams聊天邀请和冒充IT客服的经典社会工程学手段，结合定制恶意软件，发起大规模数据窃取攻击。该团伙在2025年12月底发起了一场大规模邮件轰炸，随后通过Teams冒充技术支持人员诱导受害者安装所谓的“补丁”，最终窃取凭证并植入后门。这一事件凸显了社会工程学攻击与云服务滥用的结合正成为企业安全的重大威胁。

主要内容：

攻击始于一场针对目标组织的大规模垃圾邮件轰炸，随后攻击者冒充IT客服通过Microsoft Teams联系受害者，声称可帮助解决邮件问题。受害者被诱导点击链接，进入伪装成“邮箱修复工具”的钓鱼页面，该页面包含“健康检查”按钮，点击后要求用户输入邮箱和密码。攻击者利用“双重输入”心理技巧，自动拒绝前两次密码输入，迫使受害者重复输入，从而确保捕获的密码无误。钓鱼页面随后执行虚假的邮箱完整性检查，同时将凭证和元数据发送至攻击者控制的Amazon S3存储桶，并在受害者机器上下载恶意文件。

第一阶段下载AutoHotKey二进制文件和脚本，执行侦察并安装名为SnowBelt的恶意Chromium浏览器扩展。SnowBelt作为JavaScript后门，通过浏览器扩展注册系统实现持久化，常伪装成“MS Heartbeat”或“System Heartbeat”。随后，SnowBelt下载其他定制恶意软件，包括SnowGlaze和SnowBasin。SnowGlaze是基于Python的隧道工具，可在Windows和Linux环境下运行，通过WebSocket建立加密隧道，将恶意流量伪装为JSON对象和Base64编码的合法Web流量，连接至攻击者的C&C基础设施（如Heroku子域名）。SnowBasin则是Python绑定Shell，作为持久后门在本地HTTP服务器（端口8000）上运行，支持远程命令执行、截图捕获和数据窃取。

该团伙的社会工程学手段与ShinyHunters和Scattered Lapsus$等组织类似，但谷歌分析师确认UNC6692与这些团伙无关联。攻击的成功关键在于利用Teams通信的信任感，结合双重密码输入的心理操控和模块化恶意软件生态，使受害者难以察觉。这一事件提醒企业，社会工程学攻击正日益复杂，且与合法云服务结合，对组织IT环境构成严重威胁。