黑客利用Microsoft Teams进行盗窃账户

微软针对网络犯罪分子开展的一项新的钓鱼活动发出了警告。该攻击利用了 Teams 消息作为诱饵，潜入企业网络内收集敏感的数据。

在谷歌威胁情报团队的控制下，该犯罪分子被命名为 Storm-0324，并以 TA543 、Sigrid或者别名 Storm-0324 进行密切监控。微软的安全研究人员注意到，Storm-0324 这个有经济犯罪动机的网络组织已经开始使用 Teams 来锁定潜在的受害者，他们认为这是一种很容易访问受害者计算机系统的手段。 

作为网络经济犯罪中的有效载荷分发者，Storm-0324 提供的服务可以规避感染链，并以此传播用于攻击的各种有效载荷。本研究发现恶意软件类型多种多样，其中包括下载器、银行木马、勒索软件以及各种模块化的工具包，如 Nymaim、Gozi、TrickBot、IcedID、Gootkit、Dridex、Sage、GandCrab 和 JSSLoader。 

攻击者过去曾使用以发票和付款单作为诱饵的电子邮件，诱骗用户下载带有 JSSLoader 的 ZIP托管文件，JSSLoader 是一种恶意软件加载器，能够在受感染的机器上配置和加载额外的有效载荷。

据微软称，Storm-0324 也是一个恶意软件分发者，并为其他的恶意软件作者分发有效载荷。该团伙采用了各种规避策略，并利用付款和发票引诱受害者上当。事实证明，该团伙曾为 FIN7 和 Cl0p 这两个著名的俄罗斯网络犯罪团伙分发过恶意软件。

据发现，Storm-0324 还负责在 Teams 上传播网络钓鱼诈骗。网络犯罪分子利用 TeamsPhisher 来扩大网络钓鱼攻击的规模，它允许团队租户将文件附加发送给外部租户的消息内。

攻击者向受害者发送链接，引导他们访问托管的恶意 SharePoint 文件。微软此前曾表示，导致这些攻击的 Microsoft Teams 漏洞尚未达到立即修复的程度。

企业管理员可以通过修改安全设置，只允许某些域与员工进行通信，或者让租户无法与员工在其办公场所以外的地方进行联系，这样可以最大限度地降低这种风险。 

此外，微软还解释说，目前它已进行了多项改进，确保自己免受此类威胁，并提高防御能力。他们还增强了 Teams 一对一聊天中的 "接受/阻止"（Accept/Block）功能，并冻结了存在欺诈行为的账户和租户。 

通过这种方式，可以提醒团队用户注意电子邮件地址是否合法，从而在与未知的或恶意发件的人进行交互时更加的谨慎，避免与这些用户进行交互。此外，微软还增强了租户管理员在租户中创建新域时的通知功能，这可以使他们能够监控这些租户是否已经创建了新的域。

据悉，该组织在其网络钓鱼攻击中利用了先前被入侵的 Microsoft 365 实例（其中大部分属于小型企业）来创建新域，不过这些新域看起来像是小型企业的技术支持帐户。

然后这些人随后会被该攻击者说服，批准攻击者通过Teams消息发起的多因素身份验证提示，使用已重命名并用于设置实例的新 onmicrosoft.com 子域。

如果目前用户没有创建自定义的域名，Microsoft 365 就会使用 onmicrosoft.com 域名作为后备域名。为了提高以技术支持为主题的信息的可信度，攻击者通常会在这些子域名中使用安全术语或特定产品名称作为诱饵。