Teams官方下载:前Black Basta成员利用Microsoft Teams和Python脚本发动2025年攻击,企业安全警报拉响

/ Teams官方 / 作者:

即使是一些臭名昭著的勒索软件组织品牌受挫,其前成员也可能改头换面,继续利用成熟的战术发动攻击。近期,网络安全公司ReliaQuest发布报告,指出与Black Basta勒索软件操作相关的“前成员”正在继续采用电子邮件轰炸和Microsoft Teams网络钓鱼等惯用手法,以建立对目标网络的持久访问权限。更令人担忧的是,这些攻击者在2025年的行动中,已经引入了Python脚本执行,利用cURL请求获取和部署恶意负载。这提醒我们,即使某些威胁组织表面上销声匿迹,其核心威胁行为者仍然活跃,并不断演进攻击策略。对于企业而言,通过Teams官方下载渠道获取最新、最安全的Microsoft Teams版本,并加强安全防御,比以往任何时候都更加重要。

Black Basta余孽:策略不变,工具升级

尽管Black Basta品牌在2025年2月因内部聊天记录泄露而遭受重创,但其核心威胁行为者并未停止活动。ReliaQuest的观察表明,这些前成员仍然坚持其“屡试不爽”的攻击方法,尤其是在初始访问阶段:

  • 电子邮件轰炸(Email Bombing):通过发送大量垃圾邮件,旨在淹没目标收件箱,干扰正常通信,并可能以此为幌子,夹带恶意链接或附件。
  • Microsoft Teams网络钓鱼(Microsoft Teams Phishing):这是当前最值得警惕的趋势之一。攻击者利用Microsoft Teams作为钓鱼平台,冒充帮助台人员或其他合法身份,诱骗用户点击恶意链接、下载恶意文件或泄露凭据。

值得注意的是,在2025年2月至5月期间观察到的Teams网络钓鱼攻击中,有一半源自onmicrosoft[.]com域名。这表明攻击者可能利用了被攻陷的Microsoft 365租户来发动攻击,增加了伪装的迷惑性。更隐蔽的是,同一时期内,被攻陷的合法域名发起的攻击占42%。这种方式更具隐蔽性,因为攻击流量看起来像是合法的内部或合作伙伴通信,使得传统安全防御难以识别。

Python脚本的引入:新型持久化与命令控制

此次攻击升级的一个关键特征是引入了Python脚本执行。ReliaQuest指出,攻击者正利用cURL请求来获取并部署恶意负载。这意味着:

  • 更强的灵活性:Python脚本因其跨平台性、丰富的库支持和易于编写的特点,成为攻击者青睐的工具。它可以快速定制,适应不同的目标环境。
  • 新的持久化机制:通过Python脚本,攻击者能够建立更隐蔽、更稳定的命令与控制(C2)通信通道,从而在受感染网络中维持持久化访问。
  • 规避检测:Python脚本可能被用来下载和执行后续阶段的恶意软件,从而规避传统基于签名的安全检测。

ReliaQuest警告称,未来Teams网络钓鱼活动中,使用Python脚本的攻击手法可能会变得更加普遍。

攻击流程剖析:从钓鱼到C2建立

ReliaQuest详细描述了攻击者如何利用Teams网络钓鱼获得的初始访问权限,进一步深入目标网络:

  1. 初始访问:通过Teams网络钓鱼,攻击者诱骗用户授予他们访问权限。
  2. 远程桌面会话:利用获得的访问权限,攻击者通过Quick Assist和AnyDesk等合法远程桌面工具,启动远程桌面会话。这些工具的合法性使得其流量不易被安全工具拦截。
  3. 恶意Python脚本下载与执行:一旦建立远程桌面会话,攻击者便从远程地址下载恶意Python脚本并执行,以建立与命令与控制(C2)服务器的通信。

威胁行为者动向:品牌消逝,成员流转

Black Basta数据泄露网站的关闭,并不意味着威胁的终结。ReliaQuest推测,Black Basta的前关联成员很可能已经:

  • 迁移到其他勒索软件即服务(RaaS)组织:这种模式在勒索软件生态系统中十分常见,即攻击者转而使用其他RaaS平台的工具和基础设施。
  • 组建新的RaaS集团:攻击者可能利用自身经验,成立新的勒索软件团伙。

有证据表明,这些前成员可能已加入CACTUS RaaS组织,这在泄露的Black Basta聊天记录中有所提及。然而,自2025年3月以来,CACTUS的数据泄露网站也未再发布任何组织,这可能意味着该组织已经解散,或者正在刻意避免引起关注。

此外,ReliaQuest还提到,一些关联成员可能已转向BlackLock。BlackLock又被认为已开始与名为DragonForce的勒索软件集团合作,这显示了勒索软件生态系统内部复杂的联盟与重组。

恶意软件演变:Java RAT的云服务滥用

Rapid7的报告进一步揭示了攻击者使用的恶意软件演变:

  • Java-based RAT变种:攻击者利用通过Teams钓鱼获得的访问权限,下载并执行一个更新过的Java-based RAT(远程访问木马)。该RAT在Black Basta攻击中曾被用作凭据收集器。
  • 滥用云文件托管服务:新的Java恶意软件变种滥用Google和Microsoft的云文件托管服务(如OneDrive和Google Drive,以及Google Sheets)来代理命令。这意味着,攻击者可以通过这些合法且广泛使用的云服务提供商(CSP)的服务器来代理C2通信,使得检测更加困难。这种策略的变化,从直接代理连接转向云服务代理,显示了攻击者在规避检测方面的持续进化。

这款新的恶意软件变种功能更加强大,包括:

  • 在受感染主机和远程服务器之间传输文件。
  • 启动SOCKS5代理隧道。
  • 窃取浏览器中存储的凭据。
  • 呈现伪造的Windows登录窗口,进行钓鱼。
  • 从提供的URL下载Java类并在内存中运行(无文件执行)。

协同作战:QDoor、Anubis与Rust加载器

与Sophos几周前披露的3AM勒索软件攻击类似,这些入侵还呈现出其他恶意软件的特征:

  • QDoor:一个隧道后门,此前被认为是BlackSuit勒索软件组织使用的恶意软件。
  • Rust负载:可能是一个用于SSH实用程序的自定义加载器。
  • Python RAT(Anubis):一个名为Anubis的Python远程访问木马。

这些多重恶意软件的组合使用,表明攻击者采用复杂的多阶段攻击策略,以确保持久性、规避检测并最大化攻击效果。

勒索软件格局的其他重大发展(2025年5月-6月)

除了上述Black Basta关联成员的活动,勒索软件领域在2025年5月至6月期间还发生了多起值得关注的事件,表明整个威胁格局的动态变化:

  • Scattered Spider:这个以经济利益为驱动的组织,采用了“一对多”的策略,通过攻击托管服务提供商(MSPs)和IT供应商,从一个妥协点渗透多个组织。在某些案例中,他们甚至利用了全球IT承包商塔塔咨询服务公司(TCS)被攻陷的账户来获取初始访问权限。该组织还利用Evilginx钓鱼工具包创建虚假登录页面,绕过多因素认证(MFA),并与ALPHV(BlackCat)、RansomHub以及最近的DragonForce等主要勒索软件运营商结盟,利用SimpleHelp远程桌面软件的漏洞发动复杂攻击。
  • Qilin (Agenda / Phantom Mantis) 勒索软件:该组织在2025年5月至6月期间发动了一系列协调入侵活动,利用Fortinet FortiGate漏洞(如CVE-2024-21762和CVE-2024-55591)进行初始访问。
  • Play (Balloonfly / PlayCrypt) 勒索软件:自2022年中期出现以来,该组织已攻陷约900个实体。一些攻击利用了SimpleHelp漏洞(CVE-2024-57727),在美国针对多个实体发动攻击。
  • VanHelsing勒索软件源代码泄露:VanHelsing勒索软件组织的管理员在RAMP论坛上泄露了整个源代码,原因据称是开发者和领导层之间的内部冲突。泄露内容包括TOR密钥、勒索软件源代码、管理面板、聊天系统、文件服务器及其完整的博客数据库。
  • Interlock勒索软件部署NodeSnake RAT:该组织在2025年1月和3月攻击英国地方政府和高等教育组织时,部署了一种此前未被记录的JavaScript远程访问木马NodeSnake。该恶意软件通过钓鱼邮件分发,提供持久访问、系统侦察和远程命令执行能力。Quorum Cyber强调,RAT使攻击者能够远程控制受感染系统,访问文件、监控活动、操纵系统设置,并维持持久性、引入额外工具或恶意软件,以及访问、操纵、销毁或窃取数据。

企业防御策略:加强Teams安全与Teams官方下载渠道的重要性

面对如此活跃且不断进化的威胁,企业必须采取多层次、主动的防御策略:

  1. 增强Teams安全配置
    • 严格管理外部访问:限制非必要的外部用户对Teams的访问权限,并对外部协作进行严格审计。
    • 启用高级威胁防护:利用Microsoft Defender for Office 365等服务,加强对Teams消息和附件的扫描,检测和阻止钓鱼链接和恶意文件。
    • 多因素认证(MFA)强制实施:强制所有用户对Teams账户启用MFA,即使攻击者窃取了凭据,也难以登录。
    • 用户培训:定期对员工进行网络安全意识培训,特别是关于Teams网络钓鱼的识别技巧,教育他们警惕冒充帮助台或其他内部人员的请求。
  2. 文件和应用权限管理:实施最小权限原则,限制用户对文件和应用程序的访问权限,只授予完成工作所需的最低权限。
  3. Endpoint检测与响应(EDR):部署强大的EDR解决方案,实时监控终端活动,检测并响应可疑的Python脚本执行、远程桌面会话启动以及恶意文件下载。
  4. 云服务安全监控:密切监控Microsoft 365和Google Drive等云服务的使用情况,特别是异常的文件共享、API调用和数据传输。
  5. 定期备份与应急响应计划:定期进行数据备份,并制定完善的勒索软件应急响应计划,以便在遭受攻击时能够迅速恢复。
  6. 通过Teams官方下载获取最新版本:至关重要的一点是,企业和个人用户都应该始终通过Teams官方下载渠道(例如Microsoft 365官网、微软商店等)获取Microsoft Teams的最新版本。官方版本通常包含最新的安全补丁和功能更新,能够有效抵御已知漏洞和攻击手法。避免从非官方或不可信的来源下载Teams,以防下载到被篡改或捆绑恶意软件的版本。

结语

Black Basta前成员利用Microsoft Teams和Python脚本发动的攻击,再次警示我们勒索软件威胁的持续演变和高度适应性。攻击者正在不断创新其初始访问、持久化和命令与控制技术,滥用合法工具和云服务,使得检测和防御更具挑战性。面对这一严峻的形势,企业必须积极采取主动防御措施,不仅要加强技术防护,更要提升员工的安全意识。同时,始终通过Teams官方下载渠道获取最新、最安全的Microsoft Teams版本,是确保协作环境自身安全的第一步。只有全面提升安全韧性,企业才能在复杂的网络威胁环境中立于不败之地。

相关文章