通过Microsoft Teams进行的网络钓鱼诈骗导致攻击者滥用TeamViewer来投放恶意软件并使用简单但有效的技术保持隐藏。

Ontinue的网络防御中心(CDC)最近调查了一起事件，该事件表明简单的语音钓鱼电话如何演变成对整个环境的入侵。该攻击将社会工程学与Quick Assist、签名二进制文件和恶意脚本等合法工具相结合，以获取访问权限、保持持久性并避免被发现。

攻击始于一条看似合法的外部用户发送的Microsoft Teams消息。与此同时，还有一个旨在建立信任并引导目标运行PowerShell命令的语音钓鱼电话。该命令下载了一个有效载荷，这是更大链条的第一阶段。然后，攻击者使用Windows 内置的合法远程支持工具Quick Assist来获取远程访问权限。

进入系统后，攻击者将一个已签名的二进制文件放入TeamViewer.exe隐藏文件夹中。该可执行文件用于侧载恶意DLL（TV.dll），帮助混入正常系统活动。这种侧载并不新鲜，但仍然有效，尤其是在使用已签名且广受信任的应用程序时。

根据该公司在周二发布恶意软件之前分享的博客文章，攻击者在启动文件夹中设置了一个快捷方式文件，以确保恶意软件每次重新启动时都会自动再次运行。同时，他们还使用BITS作业（后台智能传输服务）悄悄传输文件，以保持长达90天的访问权限。

index.js第二阶段涉及通过执行的基于JavaScript的后门()Node.js。这使攻击者能够通过套接字连接获得完整的命令和控制访问权限，并具有命令执行功能和硬编码凭据。

尽管CDC无法高度肯定地确认攻击归属，但此次攻击中观察到的策略与微软先前发现的组织Storm-1811的策略非常相似。

相似之处包括使用Quick Assist进行远程访问、通过签名二进制文件侧载恶意DLL、利用Microsoft Teams作为入口点以及依靠使用内置Windows工具的离地攻击技术。这些重叠之处与Microsoft和Sophos最近的发现一致，它们记录了类似的涉及滥用远程支持软件的钓鱼式攻击活动。

攻击的成功取决于一件事：社会工程学。最初的网络钓鱼电话是打开大门的钥匙。Ontinue的2H威胁情报报告已经强调2025年第一季度的网络钓鱼攻击增加了1633%，而这一事件证明这些数字不仅仅是统计数据。

位于斯科茨代尔的证书管理提供商Sectigo的高级研究员Jason Soroko分享了他的观点，他表示：“这次攻击始于Teams的一次语音钓鱼尝试，导致签名的二进制文件绕过了防御。攻击者将恶意DLL侧载到受信任的进程中，将标准远程支持变成了隐秘的入口点。”

“防御者应该留意Teams消息中的PowerShell命令、Quick Assist的意外使用以及从不寻常路径运行的签名二进制文件（如TeamViewer.exe）。DLL侧载的迹象（例如TV.dll意外加载）也是危险信号，”他补充道。

此案提醒我们，威胁行为者并不总是需要零日漏洞或恶意软件。当用户信任陌生的声音和消息，并且熟悉的工具被滥用时，攻击者可以利用系统中已有的东西造成严重破坏。