微软披露Teams安全漏洞:攻击者利用它进行勒索与间谍活动
Octo Tempest等具有经济动机的威胁组织会利用Teams等通讯应用,向目标机构、安全防护团队和事件响应小组发送带有嘲讽意味的威胁信息,以此作为勒索和敲诈软件施压策略的一部分。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
微软威胁情报团队发布的详细报告指出,网络犯罪分子及受国家资助的黑客组织正将Microsoft Teams武器化,通过滥用其信息传递、会议、文件共享和外部联盟等协作功能渗透企业环境,维持长期访问权限。
报告特别强调:"Microsoft Teams广泛的协作功能和全球普及率,使其成为网络犯罪分子和国家资助攻击者的高价值目标。威胁行为者会在攻击链路的不同环节滥用其核心功能——包括消息传递、语音会议和基于视频的屏幕共享。"
攻击链初始阶段:利用Entra ID进行侦察
每个Teams账户都由Microsoft Entra ID(原Azure AD)提供支持,攻击者正利用这种深度集成展开侦察。通过TeamsEnum、TeamFiltration和ROADtools等开源枚举工具,攻击者可以滥用Microsoft Graph API来映射用户、频道和租户配置。
微软解释道:"从API角度来看,Teams是一种可通过枚举目录对象来查询的对象类型,攻击者会将其存储在本地数据库中用于侦察,同时映射关系和权限。"此类侦察使攻击者能够判断租户是否允许外部通信、通过在线状态数据识别活跃用户,并评估隐私设置是否被禁用。这些情报通常用于目标选择和欺诈借口构建,尤其是在假冒可信IT或行政人员时。
租户劫持与伪装技术
完成侦察后,老练的攻击者会建立恶意Microsoft Entra ID租户,或劫持配置薄弱的合法租户。微软指出:"威胁行为者试图攻破配置薄弱的合法租户,甚至在掌握最终获利途径时直接购买合法租户。"为增强可信度,攻击者常注册自定义域名并应用企业品牌标识——模仿合法组织或内部IT部门。这些伪造租户随后被用于托管钓鱼活动,通过Teams聊天邀请或会议链接展开社会工程攻击和恶意软件分发。
报告特别强调技术支持诈骗和基于Teams的网络钓鱼已成为初始访问的常用手段。在多起案例中,攻击者先用垃圾邮件淹没受害者收件箱,再冒充IT支持发起Teams通话,声称可远程解决问题。
典型攻击案例分析
Storm-1811行动:冒充技术支持诱骗用户执行恶意远程监控管理(RMM)工具。"例如在2024年,Storm-1811冒充技术支持,声称要解决其主动制造的垃圾邮件问题。他们使用RMM工具投放ReedBed恶意软件加载器,最终传递勒索软件有效载荷并实现远程命令执行。"Midnight Blizzard(俄罗斯关联组织):成功冒充安全和IT团队,诱骗受害者输入验证码,从而代表攻击者完成多因素认证(MFA)流程。3AM勒索软件团伙:采用语音钓鱼(vishing)和Teams冒充战术,以阻止垃圾邮件攻击为幌子获取远程访问权限,甚至伪造合法IT电话号码。
持久化与权限提升技术
入侵后,攻击者使用来宾账户、恶意令牌和设备代码滥用维持持久访问。微软观察到:"Storm-2372通过利用设备代码认证流窃取认证令牌,部分通过伪装成Microsoft Teams会议邀请实现。"这使得攻击者能在密码重置或MFA强制执行后仍保持访问权限。
经济动机明显的Storm-0324等组织使用TeamsPhisher工具向Sangria Tempest等勒索团伙投递JSSLoader恶意软件,长期潜伏在企业环境中。
攻击者越来越多地滥用Teams管理员角色进行权限提升。微软警告:"如果威胁行为成功入侵具有管理权限的账户或注册其控制的设备,通常会尝试更改权限组来提升特权。若攻陷Teams管理员角色,可能导致滥用该角色所属的管理工具权限。"
国家级攻击者的高级手法
与俄罗斯有关的Void Blizzard间谍组织曾被观察到枚举受害组织的Entra ID配置,提取Teams聊天记录以指导后续攻击。国家资助的Peach Sandstorm组织则通过Teams分享恶意ZIP文件,部署AD Explorer等侦察工具捕获Active Directory数据库快照。
更高级的演进是,Brute Ratel C4(BRc4)和ConvoC2等红队工具已集成通过Teams消息协议建立命令控制(C2)通道的功能。微软指出:"Brute Ratel C4(BRc4)的修改版本包含通过Microsoft Teams等平台的通信协议建立C2通道的功能,用于发送接收命令和数据。"该技术允许攻击者在Teams消息中嵌入命令——与合法协作流量无缝混合——甚至通过webhook或Adaptive Cards窃取数据。
最终攻击阶段:数据勒索与心理施压
攻击最终阶段通常涉及数据窃取、勒索或勒索软件部署。Octo Tempest等具有经济动机的组织"使用Teams等通信应用向组织、防御者和事件响应团队发送嘲讽威胁信息,作为勒索和软件付款施压战略的一部分"。攻击者不仅将Teams用于渗透,还将其作为心理施压工具,通过被入侵的渠道直接嘲弄受害者或联系高管。
相关攻略
日本走到这一步,不是未雨绸缪,更像是亡羊补牢。日本政府数据显示99%的网络攻击来自境外,国家级APT渗透与勒索软件围猎形成两条并行的威胁主线。 日本宣布10月1日起授权自卫队主动入侵并瘫痪网络攻击基
勒索软件攻击正从高调加密转向隐蔽潜伏与数据窃取,报告显示,攻击者更侧重持久化与防御规避,甚至利用OpenAI、AWS等受信任平台隐藏C2流量。 攻击者正从“掠夺式”的快速攻击转向“寄生式”的长期潜伏
封面新闻记者 雷强1月16日,360数字安全集团以2025年全年勒索软件事件监测、分析与处置数据为基石,融合国内外一线安全态势数据、权威研究报告及国际热点事件情报,经综合研判梳理后发布了《2025年
该组织目前正在推广名为ShinySp1d3r的新型勒索软件即服务(RaaS)平台,据称这是与ShinyHunters、Scattered Spider和Lapsus$有关联的黑客共同开发的成果。 在
勒索软件攻击持续困扰各类组织,攻击手段日趋复杂,勒索软件即服务(RaaS)模式也在快速发展。首席信息安全官(CISO)和首席安全官(CSO)必须将制定防御手册列为优先事项。 勒索软件攻击持续困扰各类
热门专题
热门推荐
《全面战争:中世纪3》:经典延续,如何平衡怀旧与创新? 近期,《全面战争:中世纪3》的项目负责人帕维尔·沃伊斯坦然指出,要打造一款真正优秀的续作,绝不能仅仅依赖对前作模式的简单复刻。这一观点引人深思——尽管《中世纪2:全面战争》至今仍在策略游戏爱好者心中占据着经典地位,但开发团队此次显然决心跳出“照
雷鸟X3 Pro斩获AWE艾普兰创新大奖,开启全民AR生活新篇章 在上海新国际博览中心隆重揭幕的2026年中国家电及消费电子博览会(AWE)上,前沿AI科技与未来生活愿景激情碰撞。全球消费级AR领导品牌雷鸟创新,以其里程碑式的表现,定义了行业发展的新方向。 通过“顶尖硬件科技+顶级文化IP”的双轨战
借力AWE2026“一展双区”,MOVA双区协同、震撼登场 备受瞩目的科技盛会——2026年中国家电及消费电子博览会(AWE),于3月12日至15日在上海盛大举办。本届AWE展会首次创新采用“一展双区”的展览模式,主会场位于上海新国际博览中心,分会场则设于上海东方枢纽国际商务合作区,两大展区高效联动
冰结师技能全解析 踏入2026年,《地下城与勇士》中的冰结师职业,其技能体系已构建得更为成熟与强大。无论是在副本中高效清理海量怪物,还是在决斗场与高手玩家周旋,这个职业都能凭借其独特的冰霜艺术掌控战局。刷图时,酷寒的范围法术可瞬间清屏;而在PVP竞技中,一套将冻结控制与瞬间爆发完美衔接的连招,往往让
iPhone 18 Pro系列模具不变,屏幕形态将与iPhone 17 Pro保持一致 备受期待的屏下Face ID组件小型化设计与灵动岛区域缩窄方案,预计将被推迟至后续迭代机型中正式应用。 近期,关于iPhone 18 Pro系列的技术传闻持续引发行业关注,尤其在显示与解锁设计领域传言甚多。多方消