Sophos X-Ops 研究：新的俄羅斯攻擊行動積極濫用 Microsoft Teams 與遠端管理工具進行資料竊取與勒索軟體攻擊

Sophos X-Ops MDR 團隊發現了兩起活躍的威脅行動，分別由不同的威脅攻擊者團體濫用 Microsoft Office 365 平台及 Quick Assist 等遠端管理工具滲透企業的 IT 網路。他們的目的是竊取企業資料並部署勒索軟體。

這兩起攻擊行動都處於高度活躍狀態。Sophos MDR 在過去三個月內觀察到超過 15 起涉及這些手法的事件，其中有一半發生在過去兩週內。  

這兩個威脅團體使用了相似的策略組合： 

• 鎖定使用 Microsoft Teams 的企業中少數幾位特定員工作為攻擊目標 

• 在極短的時間內向這些員工發送成千上萬封垃圾郵件——其中一起案例中在不到一小時內發送了超過 3,000 封郵件 (這種手法被稱為「電郵炸彈」)  

• 透過 Microsoft Teams 的語音和視訊通話進一步聯繫，聲稱要協助解決垃圾郵件問題  

• 利用「快速助手」(Quick Assist) 或 Microsoft Teams 的螢幕共享功能控制目標員工的電腦，並部署勒索軟體  

Sophos X-Ops 發現其中一個威脅攻擊者團體牽涉到俄羅斯網路犯罪組織 Fin7，而另一個攻擊團體則與俄羅斯威脅組織 Storm-1811 有關。Sophos 發佈此項研究，目的是協助企業防禦這一波活躍的攻擊行動，並提高對其影響日益增加的認識。

Sophos 首席威脅研究員 Sean Gallagher 表示：「雖然濫用遠端管理工具與合法服務不是全新的手法，但我們發現越來越多的威脅團體採用這些策略來攻擊各種規模的企業。Microsoft Teams 預設允許組織外部人員與企業內部員工進行聊天或通話，而攻擊者正是濫用了這一功能。由於許多公司依賴託管服務供應商提供 IT 支援，因此當收到標註為『服務台管理人員』的未知來電時，可能不會警覺到危險，特別是這些通話還跟著大量的垃圾郵件炸彈一起出現。隨著 Sophos 持續觀察到越來越多與這些手段相關的託管式偵測和回應 (MDR) 和事件回應 (IR) 案例，我們希望使用 Microsoft 365 的企業能提高警惕。他們應檢查公司內的設定。若可能，應阻止來自外部帳戶的郵件，並封鎖未被企業定期使用的遠端存取工具與遠端機器管理工具。」  

完整報告請見此處：https://news.sophos.com/en-us/2025/01/21/sophos-mdr-tracks-two-ransomware-campaigns-using-email-bombing-microsoft-teams-vishing/