【安全资讯】勒索软件团伙伪装IT支持进行Microsoft Teams钓鱼攻击

概要：

近年来，勒索软件团伙逐渐采用电子邮件轰炸和伪装IT支持的方式，通过Microsoft Teams进行钓鱼攻击，诱骗员工允许远程控制并安装恶意软件，从而获取公司网络的访问权限。这一新兴的攻击手法对企业安全构成了严重威胁。

主要内容：

勒索软件团伙通过发送大量垃圾邮件来进行攻击，短时间内发送高达3000封邮件，随后以“帮助台经理”的名义通过Microsoft Teams拨打外部电话，伪装成IT支持。攻击者利用目标组织的Microsoft Teams默认配置，允许外部域的通话和聊天，成功诱导员工设置远程屏幕控制会话。

在一次攻击中，攻击者通过外部SharePoint链接投放了一个Java归档文件（MailQueue-Handler.jar）和Python脚本（RPivot后门）。该JAR文件执行PowerShell命令，下载合法的ProtonVPN可执行文件，并侧载恶意DLL（nethost.dll），从而建立与外部IP的加密命令与控制（C2）通信通道，给予攻击者远程访问权限。

此外，攻击者还利用Windows管理工具（WMIC）和whoami.exe检查系统信息，并部署第二阶段Java恶意软件执行RPivot，这是一个允许SOCKS4代理隧道的渗透测试工具。研究人员认为，攻击者的目标是窃取数据并部署勒索软件。另一组攻击（STAC5777）同样采用电子邮件轰炸和伪装IT支持的方式，诱骗受害者安装Microsoft Quick Assist，从而获得直接访问权限，下载存储在Azure Blob上的恶意软件。随着这些攻击手法的普遍化，企业应考虑阻止外部域发起的Microsoft Teams消息和通话，并在关键环境中禁用Quick Assist。