威胁者利用Microsoft Teams语音通话传播勒索软件

Sophos 托管检测与响应（MDR）团队发现了两起勒索软件攻击活动
，威胁攻击者利用Microsoft Teams获取目标组织未授权访问权限。用Ms语音通

这两起攻击活动分别由代号STAC5143和STAC5777的话传威胁行为者发起，他们利用Microsoft Teams的播勒默认配置，允许外部用户与内部用户发起聊天或会议 。索软

Sophos 研究人员指出，威胁威胁行为者采用了多步骤的用Ms语音通攻击策略，源码库攻击手法多样且复杂：

邮件轰炸：目标在一小时内收到多达 3,话传000 封垃圾邮件 。社交工程 ：攻击者伪装成 IT 支持人员，播勒通过 Microsoft Teams 呼叫受害者。索软远程访问
 ：威胁行为者引导受害者安装 Microsoft Quick Assist 或使用 Teams 内置的威胁远程控制功能
。恶意软件部署：一旦获得控制权，用Ms语音通攻击者会执行恶意负载。话传攻击活动详情

(1) STAC5143攻击活动

使用 Java 归档文件（JAR）和基于 Python 的播勒后门程序。云计算部署了经过混淆的索软 RPivot（一种反向 SOCKS 代理工具）。使用类似于 FIN7 技术的 Lambda 函数进行代码混淆。通过 80 端口连接到命令与控制（C2）服务器 。

Python代码来自winter.zip存档中的混淆RPivot副本（来源：Sophos ）

(2) STAC5777攻击活动

利用合法的 Microsoft 可执行文件（OneDriveStandaloneUpdater.exe）侧加载恶意 DLL（winhttp.dll）。使用未签名的模板下载 OpenSSL 工具包驱动程序建立 C2 连接 。修改注册表
： 复制reg add "HKLM\SOFTWARE\TitanPlus" /v 1 /t REG_SZ /d "185.190.251.16:443;207.90.238.52:443;89.185.80.86:443" /f1. 创建服务和 .lnk 文件以实现持久化 。进行 SMB 扫描以实现横向移动 。尝试卸载安全软件和多因素认证（MFA）解决方案 。恶意软件功能

这些攻击活动中使用的恶意软件能够进行以下操作：

收集系统和操作系统信息 。获取用户凭据 。使用 Windows API 记录键盘输入 。进行网络发现和横向移动。源码下载窃取敏感数据 。

攻击者的活动被Microsoft Office 365集成捕获（来源  ：Sophos ）

在一次攻击中，STAC5777试图部署Black Basta勒索软件
，但被Sophos终端防护成功拦截。

缓解策略建议限制来自外部组织的 Teams 通话。限制使用 Quick Assist 等远程访问应用程序。实施应用程序控制设置 ，服务器租用阻止未经授权的 Quick Assist 执行。利用 Microsoft Office 365 集成进行安全监控。提高员工对社交工程攻击的防范意识。

Sophos 已针对这些攻击活动中使用的恶意软件部署了检测机制，包括 ATK/RPivot-B  、Python/Kryptic.IV 和 Troj/Loader-DV 。高防服务器

参考链接 ：https://cybersecuritynews.com/threat-actors-delivering-ransomware-via-microsoft-teams/