【安全资讯】Sophos发现伪造技术支持诈骗与勒索软件关联

概要：

近期，Sophos的研究团队发现两起利用Microsoft Teams进行的勒索软件攻击事件，这些事件不仅影响了多个组织，还可能与知名黑客组织Black Basta和FIN7有关。这些攻击通过伪造的技术支持电话和电子邮件，成功入侵了目标系统，盗取了敏感数据。

主要内容：

Sophos的调查显示，攻击者利用Microsoft Office 365服务和Teams的默认配置，实施了两起名为STAC5143和STAC5777的勒索软件攻击。STAC5143与FIN7有一定关联，但其目标主要是较小的企业，攻击手法与FIN7以往的受害者有所不同。攻击者通过发送大量垃圾邮件，诱使受害者接听伪造的“帮助台经理”电话，随后通过Teams远程控制受害者的设备。

在STAC5143的攻击中，攻击者利用Java代码和PowerShell命令下载恶意软件，并通过ProtonVPN连接到位于俄罗斯、荷兰和美国的虚拟私人服务器，最终触发了Sophos的安全防护工具。与此同时，STAC5777的攻击则依赖于更直接的手动操作，攻击者通过Microsoft的Quick Assist工具控制受害者设备，下载恶意DLL文件，收集系统信息和凭证。

Sophos团队指出，STAC5777攻击的目标是通过加密的命令与控制连接，进一步渗透其他主机，甚至尝试卸载本地的多因素认证集成。这些攻击不仅展示了勒索软件团伙的日益复杂的攻击手法，也提醒企业在网络安全防护方面需加强警惕。