Teams淪駭客攻擊跳板 微軟揭露國家級駭客與犯罪集團完整威脅鏈
記者孫敬/編譯
微軟近日發出警告,網路犯罪分子和國家級威脅行為者,都正在其攻擊鏈中,變本加厲地濫用Microsoft Teams的功能。由於Teams具備廣泛的協作特性和極高的全球普及率,成為這兩類威脅行為者眼中的高價值目標,攻擊者會利用訊息聊天、通話、會議,以及視訊畫面共享等,在攻擊流程的不同環節進行惡意操作。
微軟強調,這項趨勢提高了防禦者主動監控、偵測和回應的急迫性。雖然微軟的「安全未來倡議」(Secure Future Initiative, SFI)已強化了預設的安全設定,但企業防禦方必須善用所有可用的安全控制措施,以加固企業的Teams環境。
延伸閱讀:程式碼的AI醫生?Google DeepMind推出CodeMender 能修補漏洞還能重寫程式碼
駭客從偵察到初始存取貫穿Teams攻擊全程
微軟觀察,駭客正在Teams生態系統內執行完整的攻擊生命週期,從最初的資訊偵察到影響其他使用者。這涉及一個多階段的流程,駭客利用平臺的可信任形象作為掩護,以滲透網路、竊取數據並部署惡意軟體。
整個攻擊鏈通常始於情報偵察,駭客會運用TeamsEnum和TeamFiltration等開源工具,枚舉組織內的使用者、群組和租戶,藉此繪製組織結構圖,並鎖定潛在的資安弱點,例如過於寬鬆的外部溝通設定。接著攻擊者可能盜用合法的用戶,或建立帶有客製化品牌的新用戶,以冒充IT人員等受信任的單位。
隨後進入初始存取階段,這經常涉及社交工程戰術。例如,威脅行為者Storm-1811曾假冒技術支援人員,以解決虛構的電子郵件問題為名義,引誘受害者採取行動,進而部署勒索軟體。類似的案例,如3AM勒索軟體的附屬組織也曾向員工發送大量垃圾郵件,隨後透過Teams通話說服他們授予遠端存取權限。此外,惡意連結和有效負載也會被直接透過Teams聊天發送,駭客使用AADInternals和TeamsPhisher等工具,來散播 DarkGate 等惡意軟體。
權限升級、資料竊取與將Teams變為C2伺服器
在成功獲得立足點後,威脅行為者會將重點轉向維持持久性和權限升級。他們可能會偷偷加入自己的訪客帳號、濫用設備代碼認證流程來竊取存取權杖,或者利用釣魚誘餌確保長期的網路存取。
值得注意的是,具備財務動機的駭客組織Octo Tempest曾被觀察到透過 Teams 進行極為激進的社交工程手法,成功入侵受多重身份驗證(MFA)保護的特權帳號。
在權限提升後,攻擊者開始進行內部偵察和橫向移動。他們會使用AzureHound等工具來繪製受損組織的 Microsoft Entra ID配置,並搜尋高價值數據。
例如,國家級駭客組織Peach Sandstorm就曾利用Teams傳送惡意的ZIP檔案,隨後探索本地端的Active Directory 料庫。若攻擊者取得管理員權限,他們甚至可以修改外部溝通設定,與其他組織建立信任關係,以實現跨租戶的橫向移動。
攻擊的最終階段是資料收集、命令與控制(C2)、外洩與衝擊。駭客利用GraphRunner等工具搜索並匯出Teams、OneDrive和SharePoint中的敏感對話和檔案。部分惡意軟體,例如破解版的 Brute Ratel C4(BRc4),被設計成能利用Teams自身的通訊協定建立C2通道,藉此傳送和接收指令。
資料外洩可以透過Teams訊息或共享連結傳輸至駭客控制的雲端儲存空間。最終目標通常是透過勒索或敲詐進行財務盜竊。Octo Tempest就曾利用Teams直接發送具威脅性的訊息,向已被控制系統的組織施壓,要求支付贖金,證明這個協作平臺不僅是個入侵媒介,更已成為直接進行財務脅迫的工具。
專家呼籲企業必須實施「縱深防禦」策略
面對駭客對 Teams 進行的全面性、多階段濫用,資安專家強烈建議企業採取縱深防禦(Defense-in-Depth)策略,並專注於三大領域的強化:
- 加固身份驗證與存取控制: 嚴格執行並監控MFA,特別是針對高權限帳號。
- 監控異常活動: 對Teams內部活動建立主動監控機制,偵測不尋常的登入、資料共享或訊息模式。
- 持續性的資安意識培訓: 不斷對員工進行培訓,使他們能夠識別各種形式的社交工程攻擊,尤其是透過Teams通話和聊天發起的騙局。
資料來源:Cyber Security News
