新型IT支持攻击：利用Microsoft Teams进行社交工程渗透

作者：Naveen和KS威胁研究团队
发布日期：2024年12月12日

引言

“当你可以礼貌地索要时，为什么还要入侵系统？”
自2024年10月初以来，Kudelski Security观察到一场持续进行的攻击活动，威胁行为者采用高度人性化的社交工程方法渗透目标网络。这些攻击者使用Microsoft Teams冒充IT支持人员（语音钓鱼），直接联系员工，试图诱骗他们安装远程访问软件（特别是AnyDesk），以提供技术援助为幌子。

除初始阶段外，攻击本身采用典型的网络犯罪技术。它始于一种称为“注册轰炸”的方法，攻击者同时将受害者的企业电子邮件地址注册到数百个在线平台。这种策略使受害者的收件箱被来自多个合法域的垃圾邮件淹没，绕过标准垃圾邮件过滤器，并用看似合法的未经请求消息淹没目标的电子邮件。受害者可能会寻求帮助来处理突然涌入的垃圾邮件，然后联系或被假的“IT支持”团队接近。

此时，威胁行为者通过Microsoft Teams呼叫发起联系，自称是准备提供帮助的IT专业人员。他们用当地语言（本例中为德语）说服受害者安装AnyDesk，表面上是为了解决电子邮件问题。一旦获得访问权限，攻击者迅速部署一系列恶意二进制文件，并开始为更广泛的网络入侵奠定基础。

其他安全供应商将此活动归因于BlackBasta的附属组织。根据我们观察到的技术，我们看到与之前处理过的案例有很强的相似性。也就是说，攻击被早期检测和缓解，成功防止了数据泄露和潜在加密事件造成的任何中断。因此，威胁行为者仅执行了初始步骤，这些步骤在大多数网络犯罪操作中都很常见。

本文的关键要点是，虽然组织通常有措施防御电子邮件威胁（得益于广泛的供应商解决方案），但通过电话或消息应用（如WhatsApp、Signal或Microsoft Teams）处理侧信道威胁要困难得多。虽然向数百万收件人发送电子邮件相对容易，但向这么多人打电话要复杂得多。尽管存在这一挑战，最近结合电子邮件和后续电话的网络攻击已被证明是有效的，这种技术未来可能在网络犯罪团体中更广泛地传播。从大规模、机会性攻击转向更针对性、利用人类互动的策略，创造了一个新的威胁格局，组织难以监控和防护。虽然基于电话的社交工程可能是最古老的黑客策略之一，但聊天应用和手机的兴起使组织更难了解这些威胁。网络犯罪分子采用这些技术的事实表明，入门门槛很低。

其他供应商也发布了关于此类攻击的信息：Microsoft[1]、Reliaquest[2]、rapid7[3]。我们提供额外的细节和查询用于狩猎和检测。

攻击详情

垃圾邮件爆发：制造混乱以启用社交工程

此活动的初始阶段看似简单但有效。威胁行为者首先将受害者的商业电子邮件注册到数百个合法站点，这是一种称为“注册轰炸”的技术。结果是立即爆发验证电子邮件和账户创建电子邮件，每个都来自合法来源。账户在各种来源上创建，从捷克共和国的花店到芝加哥的律师。这种电子邮件轰炸迅速淹没受害者的收件箱，导致突然的恐慌和无助感。

乍一看，很容易质疑——如果这些电子邮件来自合法域且不包含恶意链接，危害在哪里？答案很简单：这不是典型的网络钓鱼。通过淹没收件箱，攻击者制造压力和混乱，使受害者更可能冲动回应。

在Kudelski Security响应的事件中，正是如此。即使是通常谨慎处理垃圾邮件和网络钓鱼电子邮件的用户，在看到持续涌入的各种语言的注册电子邮件（他们过去从未接触过）时，也未能谨慎回应。垃圾邮件爆发为后续攻击阶段奠定了基础：直接社交工程。

IT支持：社交工程的转折

就在受害者需要“IT支持”时，威胁行为者伪装成IT支持，通过Microsoft Teams联系受害者，说服他们他们是来解决垃圾邮件问题的。

攻击者用当地语言（德语）说话，进一步建立与受害者的信任，使他们的方法显得更合法。他们向受害者保证，垃圾邮件问题（他们造成的）只能通过远程访问受害者的计算机来解决。

远程访问

通过Teams聊天，威胁行为者指示用户从官方AnyDesk网站下载远程管理工具AnyDesk。AnyDesk通常被IT支持和其他团队使用，从未引起怀疑。用户提供访问密钥后，攻击者连接。

一旦受害者点击链接并安装AnyDesk，攻击者获得对系统的完全访问权限。然后他们传输多个恶意软件文件，包括antispam.exe。执行时，文件触发名为“antispam filter”的Windows身份验证屏幕，强化了他们正在安装合法反垃圾邮件解决方案的幻觉。信任过程，受害者将凭据输入假提示。

此时，威胁行为者已经成功获得对主机的初始访问权限，获取明文凭据，并下载攻击后续步骤所需的多个恶意二进制文件。此外，威胁行为者还说服受害者在他们处理此“问题”时休息一下。

根据日志，我们无法确定说德语的个人是否也是执行主机上技术操作的人，或者此任务是否是协作的结果。这一区别很重要，因为如果不是同一个人，可能表明雇用了个人以当地语言提供L1 IT支持，而不知道他的工作支持恶意网络操作。工作说明将涉及协助合法IT支持安装远程代理，然后将票证升级到L2支持，实际威胁行为者参与其中。

一旦安装远程访问工具，攻击进展到更传统的勒索软件或网络犯罪团体技术。此时，我们回归经典的勒索软件战术、技术和程序（TTP），通常可以由传统端点安全产品检测。

威胁行为者恶意软件

丢弃的恶意软件二进制文件

一旦威胁行为者获得对主机的访问权限，他们立即将一系列恶意二进制文件丢弃到系统上。

文件名	SHA1
antispam.exe	1a3f14465460a61e012d11cccf301424f2c0f11d
antispam_account.exe	dccca05c9833b78dc75c7045e80056b35815ae93
antispam_account.exe	093693a336c4ab28a4e1a3e7999a0bc6cee4ba05
antispam_connect_eu.exe	517a916a794161deabf13ff2cd45956b8b918eb4
antispam_connect_us.exe	192b284e7bc7f43f1723d99b62bdbfe71334ce10
antispam_connect1.exe	b1296b7f95cab45b215704de26c8c8bd91cc83b5
antispam_connect_1i.exe	db2067ddaa6a3396238dc3353ec1edccc0dd9030
antispam_updated.exe	04be56f54c52e64b96f8ea2e57346a3bd874ba9f
antispam_lib_1i.dll	c0b93a7496715d87b9143fd7a43e23322a9c3854

即使受害者在AnyDesk会话期间注意，他们很可能假设“假”IT支持正在努力修复垃圾邮件问题，因为所有二进制文件都命名为“antispam”。这防止用户产生怀疑。

每个丢弃的二进制文件都有不同的目的，其中一些被识别为已知恶意文件，但许多在我们事件响应参与时是未知哈希。

Antispam.exe：凭据盗窃和系统枚举

执行时，antispam.exe二进制文件触发名为“spam filter update”的Windows弹出窗口，并要求受害者的用户名和密码。一旦受害者输入凭据，用户名和密码针对域验证，用户输入的用户名和密码以明文保存到“qwertyuio.txt”文件。如果输入无效凭据，文件将记录输入以及指示凭据无效的注释，窗口再次弹出要求用户重新输入用户名和密码。

除了捕获凭据外，二进制文件执行基本系统枚举，运行命令如systeminfo、route print和ipconfig /all。这些命令的输出也保存到qwertyuio.txt文件。

一旦捕获明文凭据，威胁行为者使用AnyDesk会话从受害者系统复制qwertyuio.txt文件，进一步启用他们对网络的攻击。

Antispam.exe (SHA1: 1a3f14465460a61e012d11cccf301424f2c0f11d)

Antispam_account.exe：机器账户创建和规避

antispam_account.exe二进制文件的功能简单——创建具有硬编码密码的机器账户。初始二进制文件被Microsoft Defender检测和阻止；然而，威胁行为者丢弃修改版本的二进制文件以绕过检测并执行。

当我们在实验室分析修改后的二进制文件时，发现它未能创建机器账户。然而，在Kudelski Security响应的并行调查中，我们提取了另一个版本的二进制文件，成功创建了名为SRVVSSKL$的机器账户，硬编码密码：GCmtHzw8uI$JnJB

从防御者的角度，监控此类机器账户创建并确保在调查期间审查新账户的活动至关重要。

Antispam_account.exe (SHA1: dccca05c9833b78dc75c7045e80056b35815ae93, 093693a336c4ab28a4e1a3e7999a0bc6cee4ba05)

Antispam_connect_eu.exe / Antispam_connect_us.exe:

antispam_connect_eu.exe和antispam_connect_us.exe是威胁行为者丢弃的SystemBC二进制文件，用于建立隧道并在AnyDesk会话结束后保持持久性。SystemBC是利用SOCKS5的代理恶意软件。这为攻击者提供能力，针对域发起攻击，仿佛他们的工作站直接连接到您的网络。SystemBC还允许威胁行为者部署额外工具发起攻击。

antispam_connect_eu.exe成功与命令和控制（C2）IP 157.20.182.233建立连接。这被威胁行为者大量用于执行枚举（Sharphound、Impacket等）以及横向移动尝试。

Antispam_connect_eu.exe: (SHA1: 517a916a794161deabf13ff2cd45956b8b918eb4)
antispam_connect_us.exe: (SHA1: 192b284e7bc7f43f1723d99b62bdbfe71334ce10)

Antispam_connect_1i.exe:

antispam_connect_1i.exe二进制文件特别嘈杂，启动大量外部连接，包括多个俄罗斯IP。它联系的IP：46.8.232.106、46.8.236.61、93.185.159.253、188.130.206.243。

一旦执行二进制文件，它尝试建立持久性。对于启用软件限制策略（SRP）的受害者，它阻止系统上的PowerShell执行。

1

powershell -WindowStyle hidden -Command "if (-Not (Test-Path \"HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\App\")) { Set-ItemProperty -Path \"HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\" -Name \"App\" -Value \"C:\Users\redacted\antispam_connect_1i.exe\" }"

antispam_connect_1i.exe: (SHA1: db2067ddaa6a3396238dc3353ec1edccc0dd9030)

枚举

一旦威胁行为者使用SystemBC建立SOCKS代理隧道，他们对域执行广泛的枚举活动。

他们使用多个常见的公共攻击工具进行枚举，如SharpHound（映射Active Directory结构和关系）、Impacket模块——如wmiexec.py、psexec.py和smbexec.py等。

横向移动

尝试了多个横向移动路径，但无一成功。

SVCCTL（通过RPC的服务控制管理器）

SMB中的命名管道，通过TCP端口445上的IPC$共享访问，被威胁行为者利用用于网络内的横向移动。它们启用一系列操作，从NULL会话上下文到需要本地管理权限的操作。例如，svcctl促进创建、启动和停止服务以在远程主机上执行命令，Impacket的psexec.py和smbexec.py等工具利用此功能。

我们可以看到通过IPC$共享尝试打开svcctl和SMB访问远程主机。监控未经授权的服务创建可以通过捕获4679事件完成。

观察到的威胁行为者设备

在使用RDP和网络登录的横向移动期间，检测到名为vultr-guest和callous-cause.aeza.network的设备，指示威胁行为者在横向移动尝试中使用的基础设施。

Kerberoasting

Kerberoasting是针对服务账户的攻击，允许攻击者对与服务关联的Active Directory账户执行离线密码破解攻击。

进入AnyDesk会话约30分钟后，威胁行为者执行LDAP查询以枚举可Kerberoast的账户（设置了服务主体名称（SPN）的用户账户）。这立即跟随Kerberoasting攻击本身的启动。

1

(&(objectCategory=CN=Person,CN=Schema,CN=Configuration,DC=redacted,DC=com)(!(userAccountControl&2))(servicePrincipalName=*))

Kerberoasting是威胁行为者经常使用的技术，在我们CSIRT响应的大多数勒索软件案例中，我们观察到它被尝试——通常成功。我们强烈建议在此处查看Microsoft的Kerberoasting指南并应用必要的缓解措施。

检测/威胁狩猎机会

对于检测和威胁狩猎，我们专注于攻击的初始阶段，因为更传统的网络犯罪TTP已经在许多博客文章中详细记录。

用户处于风险时的警报：

外部团队聊天包含可疑链接到远程管理工具

1
2
3
4
5
6
7


CloudAppEvents 
| where Application == "Microsoft Teams" and        
ActionType == "MessageCreatedHasLink" and       
//left to keywords like anydesk, if needed        
RawEventData.MessageURLs has_any("") and       
// remove this line of phishing done from an internal user account        
RawEventData.ParticipantInfo.HasForeignTenantUsers == true  

狩猎查询以审查来自外部用户的一对一聊天中的共享链接

1
2
3
4
5
6


CloudAppEvents 
| where Application == "Microsoft Teams" and 
ActionType == "MessageCreatedHasLink" and    
RawEventData.ParticipantInfo.HasForeignTenantUsers == true and    
RawEventData.CommunicationType == "OneOnOne" 
| summarize  count(), min_value=min(['TimeGenerated']), max_value=max(['TimeGenerated']) by tostring(RawEventData.UserTenantId), ActionType, tostring(RawEventData.MessageURLs) 

查找被注册轰炸目标的用户

1
2
3
4
5
6
7
8
9


EmailUrlInfo
// Filter for URLs related to password resets coming from wordpress
| where Url contains 'wp-login.php?action=rp'     
| project NetworkMessageId, Url, UrlDomain
| join kind=inner (EmailEvents) on NetworkMessageId   
| summarize
    Count = count(),
    Urls = make_list(Url)
by RecipientEmailAddress

此查询识别来自WordPress的电子邮件，因为它们构成注册轰炸尝试的很大一部分。然而，也可以合并其他模式。

安全强化机会

良好配置的Active Directory设置以及端点强化是减缓甚至阻止威胁行为者的有效措施。我们强烈建议组织进行年度配置审查。我们事件响应团队的数据显示，解决这些领域可以显著减少违规的影响。然而，此博客文章将专注于那些初始步骤。

远程访问工具广泛使用，在大型组织中，安装多个此类工具很常见。这通常发生因为不同的本地IT团队依赖不同的远程访问解决方案进行支持。为了解决这个问题，组织应定义一组批准的支持工具并建立标准化安装过程。这允许创建检测规则以识别任何偏离授权列表或 outside 定义过程安装的工具。此外，我们建议在主机级别阻止与这些远程访问工具关联的域。我们建议不仅在企业防火墙级别执行此操作，因为许多组织的家庭办公室策略意味着并非所有流量都通过企业环境路由，使用户易受攻击。您可以在附件中找到建议的阻止列表。

为了增强Microsoft Teams环境的安全性并防止未经授权的访问，建议阻止外部或未知租户与组织的Teams环境交互。然而，这再次取决于组织的上下文和需求。

在Microsoft Teams中阻止未知租户的步骤：

配置外部访问设置：

在Microsoft Teams管理中心，导航到外部访问。
将外部访问设置为关闭或仅限受信任域（即您的合作伙伴或供应商组织）。
此设置将防止用户与外部Teams租户通信，除非明确允许。

控制访客访问：

在Teams管理中心，转到访客访问。
完全禁用访客访问或将其限制为仅特定受信任域或用户组。
通过限制访客访问，防止未经授权的外部用户添加到您的Teams频道或聊天。

审查和限制“Teams”访客权限：

如果访客访问必要，通过自定义访客设置限制访客在Teams内的权限。
为访客禁用敏感功能，如文件共享、会议安排或团队创建。

阻止外部用户联系组织中的用户

在Teams管理