Mandiant: 假冒 Teams 帮助台部署信息窃取恶意软件

Mandiant: 假冒 Teams 帮助台部署信息窃取恶意软件

执行摘要

Mandiant 研究人员发现了一个活跃的社会工程活动，攻击者冒充 Microsoft Teams 帮助台人员，诱骗企业员工安装窃取凭证和会话令牌的恶意软件。该活动详细记录在 2026 年 4 月 27 日发布的报告中，依赖于电话和 Teams 消息将受害者引导至假冒的支持门户，这些门户提供远程访问木马（RATs）。Mandiant 观察到该行动针对北美和欧洲的技术与金融服务行业的组织。

技术分析

攻击链始于一个电话或 Teams 消息，声称是 Microsoft 支持技术人员的个人。攻击者通知目标其 Teams 账户存在虚构问题——例如许可证到期或安全警报——并提供协助。然后，受害者被引导至一个模仿合法 Microsoft 支持门户的 URL。根据 Mandiant，登录页面提示用户下载一个伪装成诊断工具的远程管理工具。一旦执行，有效载荷建立持久访问，外泄浏览器存储的凭证，并捕获 Microsoft 365 及其他云服务的会话令牌。

Mandiant 指出，攻击者使用公开可用的信息——包括员工姓名、头衔和组织结构——来个性化诱饵并建立信誉。基础设施包括攻击前几天注册的域名，通常使用模仿 Microsoft 证书颁发机构的 TLS 证书。研究人员表示，该活动显示出适度的操作安全性，一些 C2 服务器在首次接触后 48 小时内被下线。

缓解措施与建议

Mandiant 建议组织对任何未经请求的 IT 支持联系实施严格的验证程序，包括回拨已知的内部号码。防御者还应强制执行对令牌盗窃有抵抗力的多因素认证（MFA）——例如 FIDO2 安全密钥——并监控不寻常的远程访问工具安装。用户意识培训应特别涵盖帮助台冒充场景，因为传统的网络钓鱼培训经常省略语音和聊天基础的诱饵。