据AT&T Cybersecurity 的研究显示,有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件,从而在受害者系统中安装 DarkGate 恶意软件。
由于在默认情况下,微软允许外部 Microsoft Teams 用户向其他用户发送消息,这才给了这种类型的网络钓鱼攻击可乘之机。
AT&T Cybersecurity 网络安全工程师Peter Boyle认为:除非日常的必要业务需使用,否则他建议大多数公司禁用 Microsoft Teams 中的外部访问,因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样,很可能不是那种典型的电子邮件钓鱼诈骗形式。
去年也出现过类似的活动,恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。
Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络,还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输,攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷,
APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门,它利用这种方式攻击了全球数十个组织,包括政府机构。
自去年 8 月 Qakbot 僵尸网络被捣毁后,网络犯罪分子更多地转向 DarkGate 恶意软件加载器,将其作为初始访问企业网络的首选。
而就在 Qakbot 僵尸网络被攻陷之前,CQ9传奇电子 CQ9电子有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称,它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。
在开发者发布消息后,就出现了越来越多的 DarkGate 攻击事件,网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。
