摘要：据香港IDC新天域互联了解，近期网络安全领域消息显示，有两个威胁行为者正通过 “邮件轰炸” 和在微软 Teams 上冒充技术支持这两种手段结合，向企业投放勒索软件，且他们的恶意活动似乎愈演愈烈。

据香港IDC新天域互联了解，近期网络安全领域消息显示，有两个威胁行为者正通过 “邮件轰炸” 和在微软 Teams 上冒充技术支持这两种手段结合，向企业投放勒索软件，且他们的恶意活动似乎愈演愈烈。

Sophos MDR 发出警告，在过去三个月里，已观察到超过 15 起涉及这些策略的事件，其中一半发生在过去两周。攻击者首先通过邮件轰炸，在短时间内向目标员工的电子邮箱发送大量垃圾邮件。员工感到困惑和惊慌，可能会向 IT 部门报告此事。不久后，一名所谓的技术支持人员会通过微软 Teams 致电，要求获得远程访问权限以解决问题。然而，这个 “技术支持” 实际上就是威胁行为者。

这种社会工程策略并非新手段。Sophos 的报告显示，目标企业若使用托管服务提供商来提供 IT 服务，员工在接到来自外部名为 “Help Desk Manager” 账户的来电时，有时就不会那么怀疑。此外，微软 Teams 的默认配置允许外部域用户与内部用户发起聊天或会议，这也给攻击者提供了便利。

Sophos 的专家已经识别出两个正在进行的活动，分别与不同的威胁组织有关，即 STAC5143 和 STAC5777。STAC5143 可能与 FIN7 有关联，它诱骗目标通过 Teams 允许远程控制会话，然后利用该会话打开命令外壳，从外部 SharePoint 文件存储中下载文件并执行恶意软件。STAC5777 的技术手段与 Storm - 1811 相似，它指示员工下载微软的 Quick Assist 远程访问工具，然后利用获得的访问权限进行配置更改并部署恶意软件。

这两个组织都使用远程桌面协议（RDP）和 Windows 远程管理来访问目标网络中的其他计算机，在其中一个案例中，还部署了 Black Basta 勒索软件。Sophos 非常确信这些活动是勒索软件和数据盗窃勒索行为的一部分。

Sophos 敦促企业限制来自外部的 Teams 通话，为远程访问应用程序设置受限策略，并加强针对社会工程攻击的认知培训。任何使用 Teams 的企业都面临风险，无论其位于何处。正如 Sophos X - Ops 的肖恩・加拉格尔所说，滥用微软 Office 365 是一种流行的攻击途径，企业应保持高度警惕并采取防御措施。

来源：小唐看科技