微軟阻止針對 Teams 用戶的勒索軟件攻擊

10 月初，微軟通過撤銷與惡意 Teams 安裝程序相關的 200 多個證書，阻止了一系列 Rhysida 勒索軟件攻擊。

這些攻擊是由 Vanilla Tempest 組織精心策劃的，該組織使用 team-install[.]top 和 team-download[.]buzz 等欺騙性域名來傳遞虛假的 MSTeamsSetup.exe 文件，通過 Oyster 後門感染受害者。

假球隊下載

此活動是 9 月底惡意廣告活動的一部分，利用搜索廣告和 SEO 中毒來傳播攜帶 Oyster 惡意軟件（也稱為 Broomstick 和 CleanUpLoader）的假冒 Teams 安裝程序。

這些假安裝程序運行時會引發一系列攻擊，首先是一個初始加載程序，該加載程序提供了 Oyster 後門，這是 Vanilla Tempest 自 2025 年 6 月以來一直在積極部署的強大惡意軟件。

運行時，流氓 Teams 安裝程序會激活一個加載程序，該加載程序部署了簽名的 Oyster 惡意軟件，使攻擊者能夠遠程訪問受感染的系統。這使他們能夠竊取數據、執行命令並傳播其他惡意軟件。

微軟系統回應

微軟採取了多層次的應對措施——撤銷受損的證書並加強 Microsoft Defender 防病毒軟件以檢測和阻止虛假安裝程序、Oyster 後門和 Rhysida 勒索軟件。

企業用戶受益於增強的 Microsoft Defender for Endpoint 檢測、監視與 Vanilla Tempest 方法相關的異常網絡活動和權限升級等策略。

這一事件突顯了在廣泛依賴 Teams 等遠程工作工具的情況下供應鏈攻擊所帶來的持續威脅，因為網絡犯罪分子利用了用戶對知名品牌的信任。

儘管微軟的快速證書撤銷阻止了進一步的濫用，但專家警告說，使用新的證書頒發機構可能會再次出現此類攻擊。

更多閱讀：微軟確認 Medusa 勒索軟件攻擊中使用了 GoAnywhere 漏洞