针对 Microsoft Teams 的社交工程攻击

关键要点

近期，微软发布的通告指出，全球范围内的 APT29也称为 Cozy Bear 和 UNC2452，此前的代号为 Nobelium正在针对 Microsoft Teams 帐户的社交工程攻击。此外，该组织还被认为是 SolarWinds 供应链攻击背后的高级持续威胁APT团体。

诱骗用户绕过 MFA

APT29 利用曾在之前攻击中被侵入的小型企业的 Microsoft 365 租户，将其重命名后，添加一个合法的“onmicrosoftcom”子域以及与重命名域相关的新用户。微软表示，这些攻击主要针对已经获得有效用户凭证的帐户或配置了无密码验证的帐户。在这两种情况下，用户需要在移动设备上的 Microsoft Authenticator 应用中输入有效代码才能访问帐户。

被攻击的帐户通过 Teams 接收到自称来自客服或安全团队的消息，要求用户回复 Authenticator 应用中显示的代码。为使其看起来更真实，攻击者使用安全相关和产品名称相关的域名重命名了受影响的租户。例如，通告中提到一个称为“Microsoft Identity Protection”的帐户，使用的域名为“@teamsprotectiononmicrosoftcom”。

如果目标用户提供了请求的 MFA 代码，攻击者便能够获取其帐户的访问权限。

“攻击者随后将进行后续活动，通常涉及从被侵入的 Microsoft 365 租户中窃取信息，”通告中指出。

“在某些情况下，攻击者试图通过 Microsoft Entra ID前称 Azure Active Directory将设备添加为组织的托管设备，这可能是为了绕过配置的条件访问策略，以限制特定资源仅对托管设备开放访问。”

特性还是漏洞？

微软表示，已针对在钓鱼攻击中使用的受损域名实施缓解措施，通知了被攻击的客户，并建议他们如何保护自己的环境。

“与任何社交工程诱骗一样，我们鼓励组织对所有用户强化安全最佳实践，并强调任何未由用户发起的身份验证请求应被视为恶意，”通告中提到。

该通告还提供了几项建议以降低风险，包括限制组织允许的外部域名，以防止来自这些域名的 Teams 聊天消息。

上个月，一款名为TeamsPhisher的 Python 工具在 GitHub 上发布，允许攻击者绕过 Teams 的安全控制并在目标系统上植入恶意软件。

无论是 TeamsPhisher 还是 APT29 的攻击方法，只有在 Teams 配置允许用户与外部租户通信时才会生效，虽然这也是默认配置。

微软此前建议，使用 Teams 的组织若不需维持与外部租户的常规通信，应更改默认配置，禁用所有外部访问或仅限于信任的外部组织。