针对员工的小心电子邮件攻击

关键要点

网络攻击者利用电子邮件轰炸和Teams语音钓鱼轻松渗透组织内部。攻击者伪装成技术支持，通过紧急电话欺骗员工提供远程访问。两个复杂的攻击链STAC5143和STAC5777使用不同的技术来感染系统并进行后续攻击。企业应加强员工培训，以识别和避免社交工程攻击，限制外部Teams通话，并对远程访问应用程序进行管理。

针对员工的电子邮件轰炸和随后冒充技术支持的骗局再次出现，攻击者主要与勒索软件团伙相关联。攻击者先是通过大量垃圾邮件轰炸员工，然后通过微软Teams与员工联系，假装是公司内部的技术支持。

相关的社交工程策略意在营造紧迫感，诱使员工授予他们远程访问工作电脑的权限。网络安全公司Sophos的响应团队在报告中表示，自11月以来，检测到了两个不同的攻击团伙实施类似的活动。

“Sophos将这些威胁标记为STAC5143和STAC5777。”该公司表示。两个攻击者利用自己的Microsoft Office 365服务租户作为攻击的一部分，并利用默认的Microsoft Teams配置，使外部域用户可以与内部用户发起聊天或会议。

此外，STAC5777与一个名为Storm1811的团伙相重叠，自2024年5月以来，该团伙开始进行类似的基于Teams的语音钓鱼攻击。

攻击过程概述

此类攻击的目标主要是拥有Microsoft 365订阅的员工，以确保他们在工作中使用Microsoft Teams。攻击者先是用大量垃圾邮件轰炸目标员工，营造出问题的假象来增强社交工程策略的可信度。

随后，他们通过Teams从受控制的外部账户向受害者拨打语音或视频电话，假装是IT团队成员，并使用如“帮助台经理”的账号名。

Sophos的研究人员指出，外部电话往往不会引起员工的警觉，特别是在使用管理服务提供商MSP进行IT管理的组织中。

STAC5143与STAC5777的攻击手法

STAC5143 使用远程控制功能请求受害者，随后在其计算机上执行shell命令并从外部SharePoint文件存储下载恶意软件。STAC5777 则引导受害者安装Microsoft Quick Assist，通过该工具进行连接，下载恶意payload。

免费机场clash

值得注意的是，在这两种情况下，攻击者使用与Microsoft服务相关联的域进行恶意文件分发，从而降低了网络监控产品的警报概率。

后续攻击及其影响

STAC5143的攻击链首先涉及一个Java存档JAR文件以及一个包含Python代码的zip文件。攻击者通过命令行执行JAR文件，在后台悄然执行。

Java代码设计用于执行PowerShell命令，以此下载7Zip归档管理器及其内容。而STAC5777则更加复杂，第一阶段通过浏览器下载两个dat文件并将其打包进入一个名为packzip的归档中。

恶意软件的功能

winhttpdll文件作为后门被合法的OneDrive可执行文件自动加载，能够收集系统信息，包括配置细节、当前用户名，并进行键盘记录。攻击者会设置持久性服务，并利用受害者的凭据尝试访问其他系统，寻找域访问权限。

在Sophos确认的一个案例中，攻击者成功部署了Black Basta勒索软件。

如何减少垃圾邮件和钓鱼攻击的影响

Sophos的报告提供了可用于构建检测规则的可疑指标和战术技术，但他们还建议组织对员工进行培训，让他们识别和避免这些社交工程策略的攻击。

“员工应了解真正的技术支持团队，并注意旨在营造紧迫感的策略，这种策略正是社交工程攻击所依赖的。”

此外，企业应在Microsoft 365订阅中限制外部Teams通话，仅限于信任的合作伙伴