【安全资讯】黑客冒充微软Teams技术支持，利用恶意浏览器插件入侵企业网络

概要：

网络安全公司Mandiant最新报告揭示，一个名为UNC6692的黑客组织正冒充微软Teams技术支持人员，通过邮件轰炸、钓鱼消息和恶意浏览器插件SnowBelt的组合攻击手段，诱骗受害者安装数据窃取恶意软件，从而入侵企业网络。该攻击利用用户对常见企业平台的信任，结合社会工程学与定制恶意软件，展现了攻击手法的显著进化。

主要内容：

攻击始于大规模邮件轰炸，淹没目标收件箱后，攻击者通过微软Teams以外部账号联系受害者，伪装成IT支持人员提供帮助。受害者被诱导点击伪装成“邮箱修复工具”的链接，下载脚本并安装名为SnowBelt的恶意浏览器扩展。SnowBelt作为后门，允许攻击者持续访问企业账户并横向移动，无需重复认证。该扩展还能下载SnowGlaze和SnowBasin等恶意工具，以及AutoHotkey脚本和便携式Python环境，用于执行后续恶意代码。

钓鱼页面采用多种社会工程技术提高成功率：若受害者使用非Microsoft Edge浏览器访问，页面会强制提示切换至Edge，确保攻击环境最有效；登录时，凭证窃取脚本故意拒绝前两次密码输入，诱使受害者重复提交，既强化了合法系统的假象，又确保攻击者捕获两次密码，减少数据错误。Mandiant研究人员指出，UNC6692活动结合了社会工程学、定制恶意软件和恶意浏览器扩展，利用用户对常见企业平台的信任，标志着攻击战术的显著演变。该事件对企业网络安全构成严重威胁，可能导致敏感数据泄露和内部系统长期受控。