微软阻止针对 Teams 用户的勒索软件攻击

10 月初，微软通过撤销与恶意 Teams 安装程序相关的 200 多个证书，阻止了一系列 Rhysida 勒索软件攻击。

这些攻击是由 Vanilla Tempest 组织精心策划的，该组织使用 team-install[.]top 和 team-download[.]buzz 等欺骗性域名来传递虚假的 MSTeamsSetup.exe 文件，通过 Oyster 后门感染受害者。

假球队下载

此活动是 9 月底恶意广告活动的一部分，利用搜索广告和 SEO 中毒来传播携带 Oyster 恶意软件（也称为 Broomstick 和 CleanUpLoader）的假冒 Teams 安装程序。

这些假安装程序运行时会引发一系列攻击，首先是一个初始加载程序，该加载程序提供了 Oyster 后门，这是 Vanilla Tempest 自 2025 年 6 月以来一直在积极部署的强大恶意软件。

运行时，流氓 Teams 安装程序会激活一个加载程序，该加载程序部署了签名的 Oyster 恶意软件，使攻击者能够远程访问受感染的系统。这使他们能够窃取数据、执行命令并传播其他恶意软件。

微软系统回应

微软采取了多层次的应对措施——撤销受损的证书并加强 Microsoft Defender 防病毒软件以检测和阻止虚假安装程序、Oyster 后门和 Rhysida 勒索软件。

企业用户受益于增强的 Microsoft Defender for Endpoint 检测、监视与 Vanilla Tempest 方法相关的异常网络活动和权限升级等策略。

这一事件突显了在广泛依赖 Teams 等远程工作工具的情况下供应链攻击所带来的持续威胁，因为网络犯罪分子利用了用户对知名品牌的信任。

尽管微软的快速证书撤销阻止了进一步的滥用，但专家警告说，使用新的证书颁发机构可能会再次出现此类攻击。

更多阅读：微软确认 Medusa 勒索软件攻击中使用了 GoAnywhere 漏洞