周三下午,你的Teams突然弹出一条消息——"IT技术支持"发现你的账户异常,需要立即远程协助。你点了同意。三小时后,公司核心数据已经被加密,屏幕上跳出勒索通知。但安全研究人员说,这根本不是普通的勒索软件攻击。

Rapid7最新调查揭露了一起精心设计的网络间谍行动。攻击者通过Microsoft Teams联系目标企业员工,伪装成外部IT技术人员,以解决技术问题为由,诱导受害者安装AnyDesk远程桌面软件。一旦获得访问权限,攻击者立即部署多种恶意软件和窃密程序,窃取凭证、修改多因素认证设置、建立持久化后门,并将敏感数据外传。

打开网易新闻 查看精彩图片

整个攻击链条的终点是部署Chaos勒索软件加密器。Chaos是一个2025年首次出现的勒索软件即服务运营方,以针对大型实体、双重勒索策略和社会工程手段著称,多数受害者位于美国。攻击者甚至将此次受害企业列入Chaos的数据泄露网站,制造典型的勒索攻击假象。

但Rapid7通过分析攻击技术、代码签名证书和作战手法,以中等置信度判定幕后真凶是MuddyWater——一个伊朗国家支持的高级持续威胁组织,别名包括Static Kitten、Mango Sandstorm和Seedworm。研究人员指出,勒索软件只是"烟雾弹",真实目的是间谍活动。

这种策略揭示了国家支持的黑客行动与网络犯罪战术的融合趋势。攻击者故意借用犯罪集团的勒索软件品牌,试图误导调查方向,将事件归类为普通网络犯罪而非国家行为体所为。对于企业安全团队而言,这意味着传统的威胁归因变得更加困难——同样的技术手段可能同时服务于金钱动机和地缘政治目标。

Microsoft Teams作为攻击入口的选择并非偶然。随着远程办公常态化,员工对即时通讯工具上的"IT支持"请求警惕性降低,而Teams的外部消息功能为攻击者提供了直接接触内部人员的通道。Rapid7建议企业限制外部账户的通信权限,并对远程协助请求实施额外的身份验证流程。