伊朗黑客组织MuddyWater已被关联到一场新的网络攻击活动,该活动利用Microsoft Teams作为入侵入口。攻击者冒充微软技术支持人员联系受害者,要求其提供远程访问权限或安装恶意软件。一旦得手,他们便会窃取凭证和敏感数据,并部署虚假勒索软件以转移注意力。
冒充技术与远程访问工具 🛠️
攻击者通过Teams发起对话,冒充技术支持人员,声称存在紧急安全问题。以此为由,他们要求受害者安装ScreenConnect或AnyDesk等合法工具。一旦获得远程控制权,攻击者便会提取系统中存储的凭证以及企业应用程序数据。最后,他们部署一种不加密文件、仅模拟攻击的勒索软件,以掩盖真实的信息窃取行为。
虚假勒索软件:经典甩锅手法 😅
最妙的是,在窃取你的凭证和数据后,攻击者还会贴心地留下一个虚假勒索软件,让你以为这是一次普通攻击,而非针对性入侵。这就像一个小偷闯进你家,搬走保险箱,临走前还留张纸条写着是邻居干的。好在他们至少费心模拟了加密过程,尽管你的文件完好无损,但你的Teams账户可能已经在暗网上待售了。