微软计划推出新的Teams反钓鱼防御

关键要点

微软宣布将推出新的反钓鱼防御机制来保护Teams用户。威胁组织Storm0324通过Teams消息投放恶意载荷，利用新工具TeamsPhisher。攻击者采用社交工程手段，通过虚假发票等方式诱骗用户。微软建议限制外部合作访问并加强用户安全意识。

微软最近表示，计划为Teams用户推出新的反钓鱼防御机制，以应对针对该平台的威胁。随着网络攻击者越来越多地通过Teams消息传播恶意载荷，微软采取了多项措施来减轻这些攻击的影响，并将继续开展相关工作。

根据微软在9月12日的博客中发布的信息，其威胁情报团队跟踪到一个名为Storm0324的组织，该组织从7月起开始向Teams用户发送包含恶意链接的消息，这很可能是利用了一种名为TeamsPhisher的新型红队工具。

TeamsPhisher能够自动向多个Teams用户的收件箱发送看似可下载的恶意文件。微软表示，Storm0324与其他被追踪的威胁组织如TA543和Sagrid重叠，并管理着一个恶意软件分发链，利用钓鱼消息和漏洞利用工具包发送其他攻击者的载荷。该组织以使用流量分发系统如BlackTDS来规避检测而闻名。

Storm0324还传播一种名为JSSLoader的恶意软件，该恶意软件被勒索软件团伙FIN7也称为Sangria Tempest、Elbrus和Carbon Spider使用。Storm0324常常通过伪装成DocuSign和QuickBooks等服务的虚构发票和付款要求来诱骗受害者。

微软表示：“用户最终会被重定向到一个在SharePoint上托管的压缩文件，该文件包含下载恶意DLL载荷的JavaScript。”该诱饵文档有时会被加密，以使其看起来更加真实。

“通过在初始通讯中添加安全代码或密码，诱饵文档可能会为用户增加额外的可信度。这个密码还可以作为有效的反分析措施，因为它需要用户在启动后进行交互。”

Teams攻击日益增加

Storm0324是一个日益增长的威胁组织之一，他们开始关注Teams用户，因为组织在邮箱和其他传统攻击载体方面加强了安全措施。上个月，微软披露了高级持续威胁组织APT29也被称为Midnight Blizzard、Cozy Bear和UNC2452利用被盗的Microsoft 365实例，发送假冒IT支持人员的Teams消息。

该团伙试图通过诱骗受害者批准多因素认证提示来窃取账户凭证。微软表示APT29和Storm0324的攻击活动并无关联。

上周，Trusec报告称，另一项钓鱼活动通过受损的Microsoft Teams账户传播DarkGate恶意软件。

各种钓鱼活动的发生是因为Teams的默认配置允许与外部组织的账户进行会议和聊天连接。微软在最新的博客中重申了之前的建议，建议客户尽可能限制外部合作的访问，仅限于可信的外部组织。同时，微软还建议教育用户有关社交工程和凭证钓鱼攻击的知识。

微软暂停了与欺诈行为相关的账户，增加了关于域创建的新限制，并改善了当新域创建时向管理员的通知。

“我们还推出了对Teams一对一聊天中接受/阻止体验的增强，强调用户及其电子邮件地址的外部性，使Teams用户可以更好地采取预防措施，避免与

免费加速器试用