最弱防線|黑客借Microsoft Teams扮IT部同事 誘騙員工安裝惡意程式
隨著企業廣泛使用 Microsoft Teams 作為遠端會議與溝通工具,黑客亦瞄準這個平台,發起新一波攻擊。有黑客透過 Teams 語音通話,假冒公司 IT 部門人員,藉此騙取員工信任,誘導對方安裝一種名為「Matanbuchus」的惡意程式,證明企業在遠端溝通工具上存有網安缺口,不得不提高警覺。
非透過傳統釣魚連結
這種攻擊方式並非透過傳統的電子郵件或釣魚連結,而是直接打電話或進行視訊通話,使受害者誤以為對方真的是公司內部的技術支援人員。根據研究團隊的觀察,黑客會在 Teams 通話中聲稱用戶的電腦出現問題,並說明需要進行「遠端協助」來協助修復。接著,他們會要求受害者使用 Windows 內建的「Quick Assist」遠端支援工具,讓攻擊者能直接操控對方的電腦。
一旦控制權落入黑客手中,他們會引導使用者在 PowerShell 中輸入一段指令,這段指令會自動下載一個被壓縮的 ZIP 檔案。這個壓縮檔內含三個檔案,其中一個為惡意的 DLL 檔案,可以藉由名為「DLL Side-Loading」的技術,在執行看起來無害的應用程式時,同時悄悄啟動惡意程式。當這些步驟完成後,Matanbuchus 就會悄悄進駐受害者的電腦中,執行下一階段的攻擊。
Matanbuchus 月租費達過萬美元
Matanbuchus 早於 2021 年已出現在地下網絡,屬「惡意軟體即服務」(Malware-as-a-Service,簡稱 MaaS),換句話講,攻擊者可付款租用它來發動攻擊。最初版本的價格僅為 2,500 美元,但到了今日,進階版本 Matanbuchus 3.0 的月租費或高達 1 萬至 1.5 萬美元,顯示其功能與隱蔽性已經大幅提升。
一旦被植入,Matanbuchus 不但可以悄悄在背景執行,而且還能下載並執行更多惡意軟體,包括勒索病毒、遠端遙控工具等。它也會主動搜集電腦上的資訊,如使用者名稱、作業系統的版本、電腦裡是否安裝網安軟件等資料,這些資訊都會被傳送回攻擊者的伺服器,作為後續攻擊的參考。
專家建議重新檢視外部通訊設定
值得注意的是,這種攻擊方式迴避了企業長期以來針對電子郵件釣魚的防護措施。由於 Teams 是即時溝通平台,多數使用者不會懷疑通話來源的真實性,特別當攻擊者使用貌似專業或熟悉的語言時,更容易放下戒心。此外,攻擊全程都不涉及電子郵件或附檔,也讓傳統的內網沙箱與過濾機制無法發揮作用。
對企業而言,這種攻擊方法造成極大威脅。專家建議,企業應重新檢視 Teams 的外部通訊設定,盡量關閉「外部使用者」的交談與語音權限,或將其限制在可信任網域。員工也應提高警覺,對於任何聲稱是 IT 部門的電話或遠端協助要求,一律先經核實後再配合。同時,應強化對 Quick Assist 等遠端工具的使用權限管制,避免全民開放導致安全缺口。
