Teams官方下载:警惕2025年新威胁,前Black Basta成员滥用Microsoft Teams和Python脚本发动攻击,企业如何自保?

/ Teams官方 / 作者:

网络安全领域风云变幻,勒索软件的威胁更是层出不穷。即使某些知名的勒索软件团伙表面上销声匿迹,其核心成员往往会迅速重组,利用原有或升级的战术继续作恶。近期,网络安全公司ReliaQuest的报告揭示了一个令人担忧的趋势:与Black Basta勒索软件操作相关的前成员,在2025年的攻击中,正继续沿用其经典的电子邮件轰炸和Microsoft Teams网络钓鱼手法,并在此基础上,引入了Python脚本执行,利用cURL请求来获取并部署恶意负载。这一转变表明,攻击者正不断进化其攻击链,使得企业面临的风险更具挑战性。对于所有使用Microsoft Teams进行日常协作的企业来说,了解这些最新威胁,并确保通过Teams官方下载渠道获取安全更新,已成为当务之急。

威胁演变:从Black Basta到新型混合攻击

Black Basta勒索软件团伙在2025年2月因内部聊天记录泄露而遭受重创,但其核心攻击策略和人员并未因此消失。ReliaQuest的观察证实,这些“前成员”仍在积极活动,并且展现出高度的适应性:

  • 持续利用邮件和Teams钓鱼:这两种社会工程学方法被证明非常有效。攻击者通过发送大量邮件(电子邮件轰炸)制造混乱,或利用Microsoft Teams平台冒充内部人员(例如帮助台),诱骗受害者点击恶意链接或执行特定操作。
  • 隐蔽性增强:报告指出,2025年2月至5月期间,近一半的Teams钓鱼攻击源自onmicrosoft[.]com域名,这表明攻击者可能控制了合法的Microsoft 365租户。而42%的攻击则利用了被攻陷的合法域名,这使得恶意流量与正常业务流量混淆,更难被安全防御系统识别。例如,ReliaQuest近期就观察到,金融、保险和建筑行业的客户,被伪装成帮助台人员的Teams钓鱼攻击所针对。

核心升级:Python脚本的引入及其危害

此次攻击的关键升级在于引入了Python脚本的执行。ReliaQuest强调,攻击者现在会利用cURL请求从远程位置下载并执行这些恶意Python脚本。这意味着:

  • 高度定制化与自动化:Python是一种功能强大的脚本语言,攻击者可以利用它快速编写高度定制化的恶意代码,执行各种任务,包括但不限于信息窃取、权限提升、持久化驻留、以及建立命令与控制(C2)通道。
  • 规避传统检测:由于Python脚本本身是合法的工具,其执行行为可能不会立即触发传统杀毒软件的警报。攻击者可以通过加密或混淆代码来进一步隐藏恶意意图。
  • 多阶段攻击的载体:Python脚本通常用于下载和执行后续阶段的恶意负载,例如其他勒索软件、远程访问木马(RAT)等,从而构建更复杂的攻击链。

ReliaQuest预警称,未来Teams网络钓鱼活动中,Python脚本的应用可能会变得越来越普遍,企业必须对此保持高度警惕。

攻击流程:从钓鱼到持久化控制

ReliaQuest详细描绘了这些攻击者如何利用Teams钓鱼获得的初始访问权限,逐步深入目标网络:

  1. 初始立足点:通过成功的Teams网络钓鱼,攻击者获得进入目标网络某个端点的初始访问权限。
  2. 利用合法远程工具:攻击者滥用Quick Assist和AnyDesk等合法的远程桌面工具,建立远程会话,以规避某些安全检测。
  3. 下载并执行恶意Python脚本:一旦远程会话建立,攻击者便从远程地址下载并执行恶意Python脚本,该脚本的主要目的是建立与攻击者命令与控制(C2)服务器的通信通道,从而实现持久化控制。

威胁格局的动态变化:RaaS组织间的流转与联盟

Black Basta数据泄露网站的关闭,并不代表威胁的结束。网络安全界普遍认为,Black Basta的前成员很可能已经:

  • 转投其他RaaS组织:这是勒索软件生态系统中的常见现象,攻击者往往会选择新的RaaS平台,利用其现成的基础设施和工具。有证据表明,一些前Black Basta成员可能已加入CACTUS RaaS组织(在泄露的聊天记录中曾提及CACTUS的付款)。然而,值得注意的是,自2025年3月以来,CACTUS的数据泄露网站也未再发布任何组织,这可能意味着其已解散或正刻意保持低调。
  • 组建新的团伙或形成联盟:ReliaQuest还提到,部分关联成员可能已转向BlackLock,而BlackLock又被认为已开始与名为DragonForce的勒索软件集团合作。这揭示了勒索软件组织之间复杂的联姻和重组,使得追踪和打击变得更加困难。

恶意软件工具箱的进化:云服务滥用与多重RAT

Rapid7的报告进一步揭示了攻击者使用的恶意软件和技术演变:

  • Java-based RAT的更新与云服务滥用:攻击者利用获得的访问权限,下载并执行更新过的Java-based RAT。值得注意的是,这款恶意软件现在滥用Google和Microsoft的云文件托管服务(如OneDrive、Google Drive,以及Google Sheets)来代理C2命令。这意味着,攻击者通过利用这些合法且广泛使用的云服务提供商(CSP)的服务器来掩盖C2流量,从而极大增加了检测难度。
  • 功能扩展:新的Java恶意软件变种功能强大,能够实现文件传输、SOCKS5代理隧道建立、窃取浏览器凭据、伪造Windows登录窗口进行钓鱼,以及从URL下载Java类并在内存中执行(无文件执行),显示出高度的隐蔽性和攻击能力。
  • QDoor、Anubis与Rust有效载荷:与最近由Sophos披露的3AM勒索软件攻击类似,这些入侵还涉及使用QDoor(一个与BlackSuit相关的隧道后门)、Anubis(一个Python远程访问木马)和一个可能用于SSH实用程序的Rust有效载荷。多重RAT和后门的使用,表明攻击者采用复杂的多阶段攻击策略,以确保持久性、规避检测并最大化攻击效果。

勒索软件格局的其他重要趋势(2025年5月-6月)

除了上述Black Basta关联成员的活动,勒索软件领域在近期还涌现出多起值得关注的事件,表明整个威胁格局的高度活跃和复杂性:

  • Scattered Spider:这个以经济利益为驱动的组织,通过攻击托管服务提供商(MSPs)和IT供应商,实施“一对多”攻击,从一个妥协点渗透多个组织。他们甚至利用了全球IT承包商塔塔咨询服务公司(TCS)被攻陷的账户来获取初始访问权限,并利用Evilginx钓鱼工具包绕过多因素认证(MFA)。Scattered Spider还与ALPHV (BlackCat)、RansomHub和DragonForce等主要勒索软件运营商结盟,利用SimpleHelp远程桌面软件的漏洞发动复杂攻击。
  • Qilin (Agenda / Phantom Mantis) 勒索软件:该组织在2025年5月至6月期间发动协调入侵活动,利用Fortinet FortiGate漏洞(如CVE-2024-21762和CVE-2024-55591)进行初始访问。
  • Play (Balloonfly / PlayCrypt) 勒索软件:自2022年中期出现以来,该组织已攻陷约900个实体。一些攻击利用了SimpleHelp漏洞(CVE-2024-57727),在美国针对多个实体发动攻击。
  • VanHelsing勒索软件源代码泄露:VanHelsing勒索软件组织的管理员在RAMP论坛上泄露了整个源代码,包括TOR密钥、勒索软件源代码、管理面板、聊天系统、文件服务器及其完整的博客数据库,原因据称是内部冲突。
  • Interlock勒索软件部署NodeSnake RAT:该组织在2025年1月和3月攻击英国地方政府和高等教育组织时,部署了名为NodeSnake的JavaScript远程访问木马,通过钓鱼邮件分发,提供持久访问、系统侦察和远程命令执行能力。Quorum Cyber强调,RAT使攻击者能够远程控制受感染系统,访问文件、监控活动、操纵系统设置,并维持持久性、引入额外工具或恶意软件,以及访问、操纵、销毁或窃取数据。

企业防御前瞻:强化Teams安全与Teams官方下载渠道的严谨性

面对如此活跃且不断进化的威胁,企业必须采取多层次、主动的防御策略:

  1. 加强Microsoft Teams安全配置
    • 严格外部访问控制:审查并限制非必要的外部用户对Teams的访问权限,对外部协作进行严格审计。
    • 启用高级威胁防护(ATP):利用Microsoft Defender for Office 365等服务,对Teams消息、文件共享进行高级扫描,检测并阻止恶意链接和文件。
    • 强制实施多因素认证(MFA):为所有Teams用户强制启用MFA,即使凭据被窃取,也能有效阻止未经授权的登录。
    • 网络钓鱼意识培训:定期对员工进行网络安全意识培训,特别是针对Teams平台上的网络钓鱼技巧,教育他们如何识别和报告可疑的帮助台或内部人员请求。
  2. 端点检测与响应(EDR)加强:部署强大的EDR解决方案,实时监控终端活动,特别关注异常的Python脚本执行、远程桌面会话启动以及来自云服务的可疑文件下载。
  3. 云安全态势管理(CSPM):持续监控Microsoft 365和Google Drive等云服务平台的安全配置,检测异常的文件共享、API调用和数据传输行为。
  4. 权限管理与最小权限原则:实施严格的访问控制策略,限制用户和应用程序的权限,只授予完成工作所需的最低权限。
  5. 定期备份与应急响应预案:建立完善的数据备份机制,并制定详细的勒索软件应急响应计划,包括隔离、恢复和事后分析步骤。
  6. 务必通过Teams官方下载渠道获取软件:这是最基本也是最重要的一步。企业和个人用户应始终通过Teams官方下载渠道(例如Microsoft 365官网、微软商店等)获取Microsoft Teams的最新版本。官方版本通常包含最新的安全补丁和功能更新,能够有效抵御已知漏洞和攻击手法。避免从任何非官方或不可信的来源下载Teams,以防下载到被篡改或捆绑恶意软件的版本。

结语

Black Basta前成员利用Microsoft Teams和Python脚本发动的混合攻击,再次敲响了网络安全的警钟。这表明勒索软件威胁的策略正在变得更加复杂、隐蔽且难以预测。攻击者不断滥用合法工具和云服务,给传统防御带来了巨大挑战。面对这一严峻形势,企业必须积极采取主动防御措施,不仅要加强技术防护和员工安全意识,更要确保所有使用的软件(特别是协作工具如Teams)都通过Teams官方下载渠道获取最新、最安全的版本。只有这样,企业才能在变幻莫测的网络威胁环境中,构建起坚不可摧的安全防线,保护数字资产和业务运营的连续性。

相关文章