近期,全球企业安全团队持续监测到一种新型攻击趋势:攻击者冒充IT帮助台,通过Microsoft Teams发起精准钓鱼,主要针对公司高管与核心岗位人员。此类攻击已在全球范围内蔓延,成为当前常见威胁手法。
一、Teams社工攻击典型流程
安全厂商报告显示,该攻击通常包含以下流程:
1. 邮件铺垫制造恐慌:攻击者发送异常邮件(如邮箱异常、权限过期提示),引发员工紧张情绪。
2. 冒充IT发起聊天:通过Teams主动联系目标,伪装成IT人员头像姓名,谎称“账户异常需点链接验证”。因员工普遍信任Teams,极易中招。
3. 植入恶意程序:点击链接后可能触发恶意浏览器扩展、宏木马或钓鱼页面,最终导致数据窃取或内网控制。
二、高管成重点目标原因
威胁报告指出,APT团伙与黑产优先针对高管、CxO及核心部门负责人,因其:
- 权限高,可访问敏感系统
- 跨部门协作频繁,利于攻击横向扩散
- 安全意识参差不齐,易被精准钓鱼
三、常见攻击技术特征
恶意浏览器扩展提权
伪装“效率工具”扩展获取系统高权限,绕过安全策略并窃取会话Cookie。
隐蔽C2通信
利用WebSocket隧道、加密域名伪装正常流量,逃避防火墙检测。
内部网络横向扫描
突破单台设备后,扫描内网开放端口,定位域控制器及文件服务器扩大感染范围。
四、企业关键防护措施
强制核验IT支持请求
所有外部发起的“IT帮助”必须回拨电话确认或通过内部系统查证,真实IT支持绝不会仅发链接。
高管账号单独加固
实施多因素认证(MFA)、设备绑定、异常登录实时告警及跨地域登录限制。
监控Teams外部联系人
清理不必要外部联系人,限制全员可被外部消息发起,并审计异常新增行为。
检测异常流量
监控不明浏览器扩展安装、WebSocket异常流量及可疑文件下载,防范取证工具与老旧P2P软件外联。
五、更新安全意识培训
CISA强调,传统培训难以抵御此类攻击,企业应:
- 模拟Teams冒充IT钓鱼演练
- 强化“外部聊天主动联系需警惕”意识
- 严格执行“链接必须二次确认”规则
六、总结与建议
1. Microsoft Teams已成为社工攻击核心场景;
2. 冒充IT针对高管的攻击模式已高度普及;
3. 企业应立即执行上述防御措施,无需等待特定事件。
来源:The Hacker News / Aviatrix威胁研究中心