根据 BleepingComputer 的报道,黑巴斯塔勒索病毒团伙的附属组织本月起开始利用微软Teams进行社交工程攻击。这些攻击最初通过发送恶意电子邮件启动,随后攻击者伪装成公司IT帮助台工作人员,声称可以帮助解决电子邮件垃圾邮件问题,联系目标进行进一步的交互。
在 ReliaQuest 研究人员的分析中,攻击者通过在显示名称中使用带有空白字符的“Help Desk”来伪装自己,诱使受害者下载 AnyDesk 或打开 Quick Assist,以便部署以下恶意载荷:“AntispamAccountexe”,“AntispamUpdateexe”和“AntispamConnectUSexe”。最后一个载荷以往被确认是黑巴斯塔曾使用的 SystemBC 恶意软件。报告指出,在目标机器上安装 Cobalt Strike 后,可能会进一步提升网络的危害程度,因此建议限制微软Teams的沟通以降低潜在风险。
这些发现是在几个月前,ReliaQuest 和 Rapid7 报告黑巴斯塔进行了一项包括伪装成电话帮助台工作人员的社交工程活动后提出的。此次新型的恶意活动展示了其攻击手段的持续发展与创新,使得网络安全的威胁更加复杂化。
白鲸加速器1.44建议措施
为了防止此类针对业务的社交工程攻击,企业应采取以下措施:
安全措施描述限制Teams通讯对敏感对话进行监控并限制外部通讯使用提高员工防范意识定期进行网络安全培训和演习使用多因素认证增强账户的安全性,防止未授权访问面对网络安全威胁,坐视不理不是解决之道。通过提高警惕和采取适当的防护措施,我们可以降低被攻击的风险,保护企业重要的信息资产。
