威胁者利用Microsoft Teams语音通话传播勒索软件-运维技术实践

Sophos 托管检测与响应（MDR）团队发现了两起勒索软件攻击活动，威胁攻击者利用Microsoft Teams获取目标组织未授权访问权限。用Ms语音通

这两起攻击活动分别由代号STAC5143和STAC5777的话传威胁行为者发起，他们利用Microsoft Teams的播勒默认配置，允许外部用户与内部用户发起聊天或会议。索软

Sophos 研究人员指出，威胁威胁行为者采用了多步骤的用Ms语音通攻击策略，香港云服务器攻击手法多样且复杂：

邮件轰炸：目标在一小时内收到多达 3,话传000 封垃圾邮件。社交工程：攻击者伪装成 IT 支持人员，播勒通过 Microsoft Teams 呼叫受害者。索软远程访问：威胁行为者引导受害者安装 Microsoft Quick Assist 或使用 Teams 内置的威胁远程控制功能。恶意软件部署：一旦获得控制权，用Ms语音通攻击者会执行恶意负载。话传攻击活动详情

(1) STAC5143攻击活动

使用 Java 归档文件（JAR）和基于 Python 的播勒后门程序。云计算部署了经过混淆的索软 RPivot（一种反向 SOCKS 代理工具）。使用类似于 FIN7 技术的 Lambda 函数进行代码混淆。通过 80 端口连接到命令与控制（C2）服务器。

Python代码来自winter.zip存档中的混淆RPivot副本（来源：Sophos ）

(2) STAC5777攻击活动

利用合法的 Microsoft 可执行文件（OneDriveStandaloneUpdater.exe）侧加载恶意 DLL（winhttp.dll）。使用未签名的源码下载 OpenSSL 工具包驱动程序建立 C2 连接。修改注册表：复制reg add "HKLM\SOFTWARE\TitanPlus" /v 1 /t REG_SZ /d "185.190.251.16:443;207.90.238.52:443;89.185.80.86:443" /f1. 创建服务和 .lnk 文件以实现持久化。进行 SMB 扫描以实现横向移动。尝试卸载安全软件和多因素认证（MFA）解决方案。恶意软件功能

这些攻击活动中使用的恶意软件能够进行以下操作：

收集系统和操作系统信息。获取用户凭据。使用 Windows API 记录键盘输入。进行网络发现和横向移动。亿华云窃取敏感数据。

攻击者的活动被Microsoft Office 365集成捕获（来源：Sophos ）

在一次攻击中，STAC5777试图部署Black Basta勒索软件，但被Sophos终端防护成功拦截。

缓解策略建议限制来自外部组织的 Teams 通话。限制使用 Quick Assist 等远程访问应用程序。实施应用程序控制设置，高防服务器阻止未经授权的 Quick Assist 执行。利用 Microsoft Office 365 集成进行安全监控。提高员工对社交工程攻击的防范意识。

Sophos 已针对这些攻击活动中使用的恶意软件部署了检测机制，包括 ATK/RPivot-B 、Python/Kryptic.IV 和 Troj/Loader-DV 。免费模板

参考链接：https://cybersecuritynews.com/threat-actors-delivering-ransomware-via-microsoft-teams/

威胁者利用Microsoft Teams语音通话传播勒索软件

友情链接