Teams里的“IT支持来电”:协作工具正在变成新的钓鱼入口

admin 2026-07-10 07:42:19 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 公开资料显示攻击者通过MicrosoftTeams语音通话冒充IT支持人员诱导员工安装EtherRAT恶意程序以获取企业终端初始访问。该攻击结合钓鱼邮件与协作工具可信互动利用合法远程管理工具降低戒备。企业应限制Teams外部通信建立可验证IT身份并更新安全培训场景。 综合评分: 85 文章分类: 威胁情报,红队,安全意识,实战经验,社会工程学


cover_image

Teams 里的“IT 支持来电”:协作工具正在变成新的钓鱼入口

原创

tcode tcode

字节脉搏实验室

2026年7月7日 10:53 北京

在小说阅读器读本章

去阅读

    企业员工越来越习惯在 Teams、Slack、飞书、钉钉这类协作工具里处理工作请求。也正因为如此,攻击者开始把“钓鱼邮件”改造成“协作工具里的可信互动”。

    BleepingComputer 在 2026 年 7 月 6 日报道称,攻击者正在通过 Microsoft Teams 语音通话冒充企业 IT 支持人员,诱导员工安装 EtherRAT 恶意程序,从而获得企业终端初始访问。报道引用了 Palo Alto Networks Unit 42 的威胁情报,指出该活动结合了钓鱼邮件、Teams 通话、合法远程管理工具和基于 Node.js 的恶意加载器。

    这类攻击的危险点在于,它不是单纯靠技术绕过,而是利用企业真实工作流程:员工收到邮件、遇到“问题”、IT 支持主动来电、要求配合远程排查。每一步都像日常办公,但组合起来就是入侵链。

核心事实

    公开报道显示,该活动先通过钓鱼邮件制造入口,再通过 Teams 语音通话冒充 IT 支持,诱导用户执行后续操作。攻击者还会借助合法远程管理工具降低员工戒备,并在终端上投递恶意能力。

    本文不列出恶意附件名称、下载地址、脚本、载荷路径、IOC 或可复现流程。原因很直接:普通读者和企业管理者需要知道如何识别和阻断这类手法,而不是获得可以复制的攻击材料。

    需要注意的是,Teams 本身不是“恶意软件”。问题在于协作工具的外部联系、语音通话、文件共享、屏幕共享和远程协助流程,如果没有治理,就会被攻击者包装成可信沟通。

影响分析

    传统安全培训常告诉员工“不要点可疑邮件链接”。但现在的攻击正在跨越邮件边界。

    一封钓鱼邮件可能只是开场,真正让员工放下戒备的是随后来自协作工具的“IT 支持”互动。语音通话比文字更有压迫感,远程协助比邮件附件更像真实工单,合法远程工具比陌生木马更难被用户识别。

    对企业来说,这意味着安全控制不能只停在邮件网关。身份、协作工具、外部租户访问、远程支持流程、终端行为检测和员工核验机制,都需要串起来看。

企业和员工应对建议

    第一,明确 IT 支持不会绕过工单流程。任何要求安装工具、共享屏幕、输入凭据、运行命令或下载文件的支持请求,都应能在企业工单系统中核验。

    第二,限制 Teams 外部通信。企业应复核是否允许外部用户直接发起聊天、通话、会议邀请或文件共享。对高风险部门,可以采用更严格的白名单策略。

    第三,给 IT 支持建立可验证身份。内部支持人员应使用固定账号、固定渠道、固定工单编号和明确回拨流程,避免员工只能凭名字和头像判断真伪。

    第四,收紧远程管理工具。未经批准的远程控制软件、远程脚本执行工具和临时协助工具,应由应用控制、EDR 和软件资产策略统一管理。

    第五,监控协作工具日志。关注外部租户互动、异常 Teams 通话、异常文件分享、同一员工短时间收到大量干扰邮件后的远程协助行为。

    第六,培训要更新场景。安全教育不应只讲“邮件链接”,还要覆盖协作工具来电、屏幕共享、远程控制、假工单和假 IT 支持话术。

事实、推测与观点区分

    事实:BleepingComputer 在 2026 年 7 月 6 日报道了利用 Teams 语音通话冒充 IT 支持并投递 EtherRAT 的活动;报道称该活动由 Palo Alto Networks Unit 42 观察并公开威胁情报。

    推测:公开信息不足以确认攻击规模、目标行业和攻击者身份,不应将其泛化为某个确定组织的大规模行动。

    观点:企业协作工具已经成为初始访问面的一部分。它们不只是提高效率的工具,也需要像邮件、身份和终端一样被纳入检测和治理。

结语

    这类攻击最麻烦的地方,是它看起来“很像工作”。真正有效的防守,不是要求员工凭直觉识破所有骗局,而是让流程本身可核验、权限默认收紧、异常行为能被看见。

关键来源

• BleepingComputer,2026-07-06,Fake IT support calls on Microsoft Teams push EtherRAT malware:https://www.bleepingcomputer.com/news/security/fake-it-support-calls-on-microsoft-teams-push-etherrat-malware/

• Palo Alto Networks Unit 42 Timely Threat Intel repository:https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel

• Microsoft Security Blog,2025-10-07,Disrupting threats targeting Microsoft Teams:https://www.microsoft.com/en-us/security/blog/2025/10/07/disrupting-threats-targeting-microsoft-teams/

• Microsoft Security Blog,2026-03-16,Help on the line: How a Microsoft Teams support call led to compromise:https://www.microsoft.com/en-us/security/blog/2026/03/16/help-on-the-line-how-a-microsoft-teams-support-call-led-to-compromise/


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:字节脉搏实验室 tcode tcode《Teams 里的“IT 支持来电”:协作工具正在变成新的钓鱼入口》

评论:0   参与:  0