Teams淪駭客攻擊跳板 微軟揭露國家級駭客與犯罪集團完整威脅鏈孫敬 (2025-10-08 15:45:30)

微軟近日發出警告，網路犯罪分子和國家級威脅行為者，都正在其攻擊鏈中，變本加厲地濫用Microsoft Teams的功能記者孫敬／編譯

微軟近日發出警告，網路犯罪分子和國家級威脅行為者，都正在其攻擊鏈中，變本加厲地濫用Microsoft Teams的功能。由於Teams具備廣泛的協作特性和極高的全球普及率，成為這兩類威脅行為者眼中的高價值目標，攻擊者會利用訊息聊天、通話、會議，以及視訊畫面共享等，在攻擊流程的不同環節進行惡意操作。

微軟強調，這項趨勢提高了防禦者主動監控、偵測和回應的急迫性。雖然微軟的「安全未來倡議」（Secure Future Initiative, SFI）已強化了預設的安全設定，但企業防禦方必須善用所有可用的安全控制措施，以加固企業的Teams環境。

延伸閱讀：程式碼的AI醫生？Google DeepMind推出CodeMender 能修補漏洞還能重寫程式碼

[caption id="attachment_194823" align="aligncenter" width="999"]

Teams被投入了多個駭客攻擊行動。（圖／微軟）[/caption]

駭客從偵察到初始存取貫穿Teams攻擊全程

微軟觀察，駭客正在Teams生態系統內執行完整的攻擊生命週期，從最初的資訊偵察到影響其他使用者。這涉及一個多階段的流程，駭客利用平臺的可信任形象作為掩護，以滲透網路、竊取數據並部署惡意軟體。

整個攻擊鏈通常始於情報偵察，駭客會運用TeamsEnum和TeamFiltration等開源工具，枚舉組織內的使用者、群組和租戶，藉此繪製組織結構圖，並鎖定潛在的資安弱點，例如過於寬鬆的外部溝通設定。接著攻擊者可能盜用合法的用戶，或建立帶有客製化品牌的新用戶，以冒充IT人員等受信任的單位。

隨後進入初始存取階段，這經常涉及社交工程戰術。例如，威脅行為者Storm-1811曾假冒技術支援人員，以解決虛構的電子郵件問題為名義，引誘受害者採取行動，進而部署勒索軟體。類似的案例，如3AM勒索軟體的附屬組織也曾向員工發送大量垃圾郵件，隨後透過Teams通話說服他們授予遠端存取權限。此外，惡意連結和有效負載也會被直接透過Teams聊天發送，駭客使用AADInternals和TeamsPhisher等工具，來散播 DarkGate 等惡意軟體。

權限升級、資料竊取與將Teams變為C2伺服器

在成功獲得立足點後，威脅行為者會將重點轉向維持持久性和權限升級。他們可能會偷偷加入自己的訪客帳號、濫用設備代碼認證流程來竊取存取權杖，或者利用釣魚誘餌確保長期的網路存取。

值得注意的是，具備財務動機的駭客組織Octo Tempest曾被觀察到透過 Teams 進行極為激進的社交工程手法，成功入侵受多重身份驗證（MFA）保護的特權帳號。

在權限提升後，攻擊者開始進行內部偵察和橫向移動。他們會使用AzureHound等工具來繪製受損組織的 Microsoft Entra ID配置，並搜尋高價值數據。

例如，國家級駭客組織Peach Sandstorm就曾利用Teams傳送惡意的ZIP檔案，隨後探索本地端的Active Directory 料庫。若攻擊者取得管理員權限，他們甚至可以修改外部溝通設定，與其他組織建立信任關係，以實現跨租戶的橫向移動。

攻擊的最終階段是資料收集、命令與控制（C2）、外洩與衝擊。駭客利用GraphRunner等工具搜索並匯出Teams、OneDrive和SharePoint中的敏感對話和檔案。部分惡意軟體，例如破解版的 Brute Ratel C4（BRc4），被設計成能利用Teams自身的通訊協定建立C2通道，藉此傳送和接收指令。

資料外洩可以透過Teams訊息或共享連結傳輸至駭客控制的雲端儲存空間。最終目標通常是透過勒索或敲詐進行財務盜竊。Octo Tempest就曾利用Teams直接發送具威脅性的訊息，向已被控制系統的組織施壓，要求支付贖金，證明這個協作平臺不僅是個入侵媒介，更已成為直接進行財務脅迫的工具。

專家呼籲企業必須實施「縱深防禦」策略

面對駭客對 Teams 進行的全面性、多階段濫用，資安專家強烈建議企業採取縱深防禦（Defense-in-Depth）策略，並專注於三大領域的強化：

資料來源：Cyber Security News

這篇文章 Teams淪駭客攻擊跳板 微軟揭露國家級駭客與犯罪集團完整威脅鏈 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。