駭客如何利用 Microsoft Teams 發動社交工程攻擊

近期,來自 Morphisec 研究人員的報告指出,攻擊者正透過 Microsoft Teams 來電 進行詐騙,誘使使用者安裝名為 Matanbuchus 的惡意軟體載入器。這類載入器經常作為進一步部署勒索病毒的前置步驟,而背後的黑客集團更包括知名的 Lazarus Group,目標鎖定國防承包商等高價值組織。

Matanbuchus:惡意軟體即服務

Matanbuchus 屬於「惡意軟體即服務(Malware-as-a-Service, MaaS)」的工具,能讓不同的威脅行為者將額外的惡意程式安裝到被感染的 Windows 系統中。

Morphisec 表示:
「在過去九個月內,Matanbuchus 被用於高度針對性的攻擊行動,最終可能導致勒索攻擊。最近推出的 Matanbuchus 3.0 更加入了重大更新,使其攻擊手法更加進化。」

假冒 IT 支援的 Teams 攻擊案例

2025 年 7 月的一起案例中,一家 Morphisec 的客戶便遭遇了透過 Teams 外部來電的攻擊。攻擊者假冒 IT 服務台人員,在通話過程中啟用了 Windows Quick Assist 遠端協助,並引導員工執行一段惡意腳本。這段腳本會部署 Matanbuchus Loader,進而打開系統後門。

研究人員指出,這些攻擊背後都有極強的「社交工程」手法。駭客會一步步引導受害者下載一個壓縮檔,檔案內含:

  • 一個被重新命名的 Notepad++ 更新工具(GUP)
  • 一份稍作修改的設定 XML 檔
  • 一個被側載的惡意 DLL,實際上就是 Matanbuchus 載入器

在更早的 2024 年 9 月活動中,攻擊者則是透過 MSI 安裝檔進行類似操作,也同樣利用 Notepad++ 更新程式的側載技巧來執行攻擊。

永續存活的惡意控制

一旦成功安裝,Matanbuchus 會建立一個隱密的持續存取方式,以確保不斷與遠端伺服器保持聯繫。

Morphisec 解釋:
「它透過排程工作來維持存活。雖然這聽起來很基本,但 Matanbuchus 開發者其實實作了相當高階的技巧,例如利用 COM 元件 以及 Shellcode 注入 來增加隱蔽性。」

防範之道:強化員工的安全意識

這類攻擊再次顯示,企業員工往往是攻擊鏈條中的第一道也是最脆弱的一環。若能運用 AI 驅動的安全意識訓練,員工便能更快識破社交工程詐術,避免成為勒索軟體進入企業網路的入口。

KnowBe4 的使命就是幫助全球組織提升安全文化,降低因人為疏忽帶來的風險。目前已有超過 70,000 家企業選擇 KnowBe4 來加強資安防護。

Morphisec 的完整研究揭露了此次攻擊的細節,也再次提醒企業:提高員工的警覺,仍然是對抗駭客的關鍵。

文章來源:https://blog.knowbe4.com/how-hackers-exploit-microsoft-teams-in-social-engineering-attacks

You cannot copy content of this page