伊朗黑客组织MuddyWater被曝与新一轮网络攻击活动有关,该活动利用Microsoft Teams作为入侵入口。攻击者伪装成微软技术支持人员联系受害者,要求其提供远程访问权限或安装恶意软件。一旦得手,他们便会窃取凭证和敏感数据,并部署虚假勒索软件以转移注意力。
冒充手法与远程访问工具 🛠️
攻击者通过Teams发起对话,冒充技术支持人员,声称存在紧急安全问题。以此为借口,要求受害者安装ScreenConnect或AnyDesk等合法工具。一旦获得远程控制权,攻击者便会提取系统中存储的凭证及企业应用数据。最后,他们部署的勒索软件并不会真正加密文件,而是模拟攻击以掩盖真实的信息窃取行为。
虚假勒索软件:经典甩锅套路 😅
最妙的是,在窃取你的凭证和数据后,攻击者还会"贴心"地留下一个虚假勒索软件,让你以为这只是一次普通攻击,而非针对性入侵。这就像小偷闯进你家,搬走保险箱,临走前还留张纸条写着是邻居干的。好在他们至少费心模拟了加密过程——尽管你的文件完好无损,而你的Teams账号早已在暗网挂牌出售。