黑客借虚假Microsoft Teams安装程序 植入Oyster后门入侵企业网络

黑客被发现利用SEO搜索引擎广告，推广伪造的Microsoft Teams安装程序，这些程序会向Windows设备植入Oyster后门，为攻击者获取企业网络初始访问权限铺路。 

Oyster恶意软件又名Broomstick、CleanUpLoader，是一款2023年年中首次出现的后门程序，目前已与多起攻击活动相关联。该恶意软件能为攻击者提供受感染设备的远程访问权限，支持执行命令、部署额外恶意载荷及传输文件等操作。

Oyster通常通过“仿冒热门IT工具”的恶意广告活动传播，曾伪装成Putty、WinSCP等工具；Rhysida等勒索软件团伙也利用过这款恶意软件入侵企业网络。

虚假Teams安装程序的攻击链条

Blackpoint SOC发现这场新型恶意广告与SEO活动中，威胁者针对“Teams download”等搜索词布局——当用户搜索相关关键词时，会触发推广虚假下载网站的广告。

恶意的微软 Teams 下载网站在 Bing

尽管广告内容与域名未仿冒微软官方域名，但会引导用户进入伪装成微软Teams下载页面的teams-install[.]top网站。点击页面中的“下载链接”后，用户会获取名为“MSTeamsSetup.exe”的文件，该文件名与微软官方Teams安装程序完全一致。

假冒微软 Teams 网站分发 Oyster 恶意软件安装程序

这款恶意的MSTeamsSetup.exe文件使用了“4th State Oy”与“NRM NETWORK RISK MANAGEMENT INC”两家机构的数字证书进行签名，以此增强文件的可信度。

但该文件执行后，会向设备的%APPDATA%\Roaming文件夹释放名为CaptureService.dll的恶意动态链接库。为实现持久化控制，安装程序还会创建名为“CaptureService”的计划任务，每11分钟执行一次该DLL，确保设备重启后后门仍能保持活跃。

攻击特点与防御建议

此类活动与此前“伪装谷歌Chrome、微软Teams安装程序传播Oyster”的攻击模式高度相似，印证了SEO恶意广告仍是黑客入侵企业网络的主流手段。他们以可信软件为幌子，分发常见后门程序。与今年早些时候发现的虚假PuTTY攻击活动类似，威胁者正利用用户对搜索结果及知名品牌的信任，获取初始访问权限。

由于IT管理员是黑客获取高权限凭据的重点目标，因此建议管理员：仅从经过验证的官方域名下载软件，避免点击搜索引擎中的广告链接。