Microsoft Teams 用戶遭假冒更新檔案進行攻擊

2020 / 11 / 20

編輯部

微軟公司日前針對 Microsoft Teams 用戶發出警示訊息，指出有駭侵者透過 Cobalt Strike 利用偽造的 Microsoft Teams 更新發動攻擊，試圖在整個內網的所有 Windows 電腦中安裝惡意軟體。

微軟說，駭侵者對受害對象發送偽造的系統更新通知，誘騙用戶安裝內含惡意軟體的 Cobalt Strike 程式，利用 Zerologon 漏洞感染內網所有 Windows 裝置，並且入侵 Windows AD 伺服器並取得控制權。

據指出，這波攻擊的受害者，主要是小學與學前教育機構；這些機構由於受到 Covid-19 影響，必須透過諸如 Microsoft Teams 之類的解決方案，來進行遠距教學。

微軟表示，駭侵者購買搜尋引擎關於 Microsoft Teams 的關鍵字廣告，誘騙用戶點擊偽造的升級連結，並把用戶導向內含惡意軟體連結的假網站；用戶一旦點擊並安裝假的升級檔案，惡意軟體就會安裝真正的 Microsoft Teams 升級軟體，以降低用戶戒心，但會同時執行一段 PowerShell 程式碼，下載安裝更多惡意軟體。

微軟說，第一次安裝到用戶上的惡意軟體，以竊取資訊為主，包括受害者的登入資訊、瀏覽器資料、付款資訊等；接續載入的惡意軟體，就會包括 Cobalt Strike 的 beacon，可以讓攻擊者用來定位受害者並發動後續攻擊，包括勒贖攻擊等。

Cobalt Strike Zerologon Covid-19