駭客冒充IT與客服人員，透過跨租戶Teams通訊進行社交工程攻擊

微軟近日提出警告，他們發現駭客冒充IT人員或客服人員建立跨租戶的Teams通訊，並透過社交工程手法誘騙員工授予遠端桌面存取權限，得逞後他們透過快速助手（Quick Assist）或其他遠端監控與管理（RMM）工具建立存取管道，並執行經受信任廠商簽章的應用程式，搭配攻擊者自己的模組執行惡意程式碼。

上述的存取途徑，微軟強調攻擊者能藉由Windows遠端管理（WinRM）等原生的管理通訊協定橫向移動，進一步滲透至網域控制器（DC）等高價值資產。在該公司看到的活動中，駭客利用遠端管理工具及資料傳輸工具（如Rclone）擴大對企業環境的存取，並將業務資料分階段傳送到外部的雲端儲存空間。這種攻擊流程高度仰賴合法應用程式與通訊協定，使得駭客的攻擊行動融入企業的正常活動裡。

有別於大部分社交工程攻擊透過釣魚信接觸受害者，這波攻擊鎖定企業的協作工作流程，其中一種應用系統就是Teams。微軟也看到駭客濫用外部Teams協作，假借IT人員或客服發動攻擊的情形。

一般來說，Teams在首度與外部聯繫時，已具備多種警示機制，提醒用戶提高警覺，而駭客會試圖說服使用者忽略相關警告，然後改用其他的支援工具進行遠端存取。另一方面，在部分攻擊活動裡，駭客在成功建立初期存取管道後，有可能會將後續攻擊流程移交給其他人馬執行。