Sophos 托管检测和响应 (MDR) 发现了两起不同的勒索软件活动，它们利用 Microsoft Teams 获取目标组织的未经授权的访问。

　　被追踪为 STAC5143 和 STAC5777 的威胁行为者正在利用默认的 Microsoft Teams 配置，该配置允许外部用户发起与内部用户的聊天或会议。

　　社会工程学：攻击者冒充 IT 支持人员，向受害者发起 Microsoft Teams 电话呼叫。

　　STAC5143 活动：STAC5143 活动是一项复杂的网络行动，它使用各种工具和技术来渗透和控制目标系统。该活动的核心是利用 Java 存档 (JAR) 文件以及基于 Python 的后门在受感染的机器上建立立足点。

　　其关键组件之一是部署混淆版本的 RPivot，这是一种反向 SOCKS 代理工具，使攻击者能够保持对受害者网络的隐秘访问。

　　为了进一步逃避检测开眼电脑vpn，该活动采用了 lambda 函数进行代码混淆，这种方法让人想起臭名昭著的 FIN7 网络犯罪集团使用的方法。最后，STAC5143 操作员通过端口 80 与其 C2 服务器建立连接，可能是为了试图融入正常的 HTTP 流量并绕过常见的安全措施。

　　STAC5777 活动：STAC5777 活动是一次复杂的网络攻击，它结合使用合法软件和恶意组件来渗透并驻留在目标系统中。

　　为了保持持久性，攻击者修改了 Windows 注册表，在“HKLM\SOFTWARE\TitanPlus”下添加了指定 C2 服务器地址的条目。此外，该活动还创建了一个服务和一个 .lnk 文件，以确保它在受感染的系统上保持活动状态。对于横向移动，STAC5777 会进行 SMB 扫描，从而允许其在网络中传播。

　　为了禁用安全措施，该恶意软件会尝试卸载安全软件和多因素身份验证 (MFA) 解决方案，这可能会使系统更容易受到进一步的攻击。

　　Microsoft Office 365 集成捕获的威胁行为者的传入活动（来源 – Sophos）

　　组织应限制来自外部实体的 Teams 呼叫，限制使用快速助手等远程访问工具，并实施应用程序控制设置，以防止未经授权的快速助手执行。