據(jù)AT&T Cybersecurity 的研究顯示，有一種新的網(wǎng)絡(luò)釣魚(yú)攻擊通過(guò) Microsoft Teams 群組聊天請(qǐng)求推送惡意附件，從而在受害者系統(tǒng)中安裝 DarkGate 惡意軟件。

據(jù)統(tǒng)計(jì)，攻擊者現(xiàn)已發(fā)送了 1000 多個(gè)惡意 Teams 群聊邀請(qǐng)。一旦目標(biāo)對(duì)象接受聊天請(qǐng)求，攻擊者會(huì)誘騙他們下載一個(gè)使用雙擴(kuò)展名的文件，文件名為 "Navigating Future Changes October 2023.pdf.msi"，這是 DarkGate 常用的伎倆。

安裝成功后惡意軟件就會(huì)連接到其位于 hgfdytrywq[.]com 的命令控制服務(wù)器，Palo Alto Networks 已確認(rèn)該服務(wù)器是 DarkGate 惡意軟件基礎(chǔ)架構(gòu)的一部分。

由于在默認(rèn)情況下，微軟允許外部 Microsoft Teams 用戶向其他用戶發(fā)送消息，這才給了這種類型的網(wǎng)絡(luò)釣魚(yú)攻擊可乘之機(jī)。

AT&T Cybersecurity 網(wǎng)絡(luò)安全工程師Peter Boyle認(rèn)為：除非日常的必要業(yè)務(wù)需使用，否則他建議大多數(shù)公司禁用 Microsoft Teams 中的外部訪問(wèn)，因?yàn)殡娮余]件相對(duì)來(lái)說(shuō)是更安全、監(jiān)控更嚴(yán)密的通信渠道。同時(shí)提醒用戶警惕未經(jīng)請(qǐng)求的信息來(lái)自何處。因?yàn)榫W(wǎng)絡(luò)釣魚(yú)的形式很多樣，很可能不是那種典型的電子郵件釣魚(yú)詐騙形式。

網(wǎng)絡(luò)釣魚(yú)群聊  圖片來(lái)源： AT&T 網(wǎng)絡(luò)安全

Microsoft Teams 擁有數(shù)量龐大的 2.8 億用戶，是威脅行為者眼中的一塊“肥肉”。DarkGate 操作員正是利用這一點(diǎn)，通過(guò) Microsoft Teams 推送惡意軟件。

去年也出現(xiàn)過(guò)類似的活動(dòng)，惡意行為者通過(guò)被入侵的外部 Office 365 賬戶和 Skype 賬戶發(fā)送包含 VBA 加載器腳本附件的消息來(lái)推送 DarkGate 惡意軟件。

Storm-0324等初始訪問(wèn)代理借助名為TeamsPhisher的公開(kāi)工具入侵企業(yè)網(wǎng)絡(luò)，還利用Microsoft Teams進(jìn)行網(wǎng)絡(luò)釣魚(yú)。盡管客戶端保護(hù)措施本應(yīng)阻止來(lái)自外部租戶賬戶的文件傳輸，攻擊者還是能夠通過(guò) TeamsPhisher 能夠發(fā)送惡意有效載荷，

APT29 是俄羅斯對(duì)外情報(bào)局 (SVR) 的一個(gè)黑客部門，它利用這種方式攻擊了全球數(shù)十個(gè)組織，包括政府機(jī)構(gòu)。

DarkGate 惡意軟件攻擊激增

自去年 8 月 Qakbot 僵尸網(wǎng)絡(luò)被搗毀后，網(wǎng)絡(luò)犯罪分子更多地轉(zhuǎn)向 DarkGate 惡意軟件加載器，將其作為初始訪問(wèn)企業(yè)網(wǎng)絡(luò)的首選。

而就在 Qakbot 僵尸網(wǎng)絡(luò)被攻陷之前，有一個(gè)自稱是 DarkGate 開(kāi)發(fā)者的人曾試圖在一個(gè)黑客論壇上出售價(jià)值 10 萬(wàn)美元的年度訂購(gòu)服務(wù)。DarkGate 的開(kāi)發(fā)者稱，它包含隱蔽的 VNC、繞過(guò) Windows Defender 的工具、瀏覽器歷史記錄竊取工具、集成的反向代理、文件管理器和 Discord 令牌竊取器等功能。

在開(kāi)發(fā)者發(fā)布消息后，就出現(xiàn)了越來(lái)越多的 DarkGate 攻擊事件，網(wǎng)絡(luò)犯罪分子采用包括網(wǎng)絡(luò)釣魚(yú)和惡意廣告等多種傳播方式。