看雪学苑 2025-08-29 18:00 上海
黑客冒充IT人员,利用Teams窃取控制权
近日,一种新型复杂钓鱼攻击被曝光,攻击者借助微软Teams的外部通信功能,冒充企业IT技术支持人员,利用该平台默认配置绕过传统邮件安全防护,非法获取屏幕共享及远程控制权限,对企业信息安全构成严重威胁。
据悉,这类攻击主要利用了Microsoft 365租户中默认开启的Teams外部协作功能。该功能允许外部人员在无需预先认证的情况下,直接与企业内部用户建立联系,为攻击者打开了“方便之门”。
从攻击手段来看,犯罪分子在Teams生态内构建了多种复杂攻击路径。其中最主要的方式是一对一聊天钓鱼:攻击者要么盗用已有的Teams账号,要么创建含.onmicrosoft.com域名的恶意Entra ID租户(该域名是微软为未配置自定义域名的企业账号提供的默认备用域名)。
在实施攻击前,攻击者会通过Teams的用户搜索功能开展侦察,核实目标用户的邮箱地址是否有效、能否成功发送消息。一旦确认可行,便会主动发起沟通。尽管微软已设置安全预警机制,比如弹出“外部通信警告”窗口、通过算法检测触发“潜在钓鱼警告信息”,但攻击者找到了破解办法——语音钓鱼(即“语音诈骗”)。
与文字沟通不同,外部用户通过Teams发起的语音通话不会触发任何警告弹窗,攻击者借此实现“无缝入侵”。当通过语音获取受害者信任后,他们会要求获得屏幕共享权限,不仅能监视受害者操作,还可能诱导其执行恶意操作。
更值得警惕的是远程控制风险。据Axon Team报告,微软默认对外部参与者关闭“授予控制”和“请求控制”功能,但部分修改过该设置的企业面临极大安全隐患——攻击者可借助Teams内置的远程控制功能,完全操控受害者的工作站,无需再依赖QuickAssist、AnyDesk等传统远程管理工具。
对于企业安全团队而言,可通过Microsoft 365审计日志中的特定记录发现这类攻击痕迹。其中,ChatCreated 事件会记录一对一聊天的关键元数据,包括聊天线程ID、发送方显示名、双方邮箱地址及机构ID;MessageSent 日志虽不记录消息内容,但能提供发送方IP地址和嵌入的链接信息。此外,受害者点击外部发送者弹窗中“接受”按钮时触发的UserAccepted事件,以及微软品牌仿冒检测算法识别出的TeamsImpersonationDetected事件,也都是重要的溯源依据。
若要开展高级威胁排查,需重点监控M365审计日志中的特定模式,比如ChatCreated操作中“participant_info:has_foreign_tenant_users = true”(参与者包含外部租户用户)且“communication_type = OneOnOne”(通信类型为一对一)的记录。
面对不断升级的攻击手段,安全专家建议企业采取多重防护措施:全面监控 Teams 审计日志,及时发现异常操作;加强员工安全教育,普及识别 IT 人员仿冒诈骗的知识。
资讯来源:cybersecuritynews
转载请注明出处和本文链接
﹀
﹀
﹀
球分享
球点赞
球在看
点击阅读原文查看更多
