ModeloRAT透過Microsoft Teams假冒IT支援發動社交工程攻擊
Rapid7於2026年5月26日揭露新型攻擊活動:攻擊者濫用Microsoft Teams外部存取功能假冒IT支援人員,誘騙員工執行Python惡意程式ModeloRAT,進而竊取憑證並進行橫向移動。
攻擊鏈摘要
- Teams外部存取功能(跨租戶)假冒IT支援
- 誘使執行PowerShell → Dropbox下載Python惡意程式
- CVE-2023-36036提權至SYSTEM
- 偽造Windows鎖定畫面竊取網域密碼
- 橫向移動擴散
ModeloRAT特徵
- Python實作的遠端存取木馬(RAT)
- 原針對瀏覽器攻擊,現轉向Teams社交工程
- 可繞過傳統EDR偵測
- 利用Dropbox作為惡意程式傳遞管道
防禦重點
- 監控Teams外部存取功能的異常使用
- 確保CVE-2023-36036已修補
- 提升員工對Teams跨租戶溝通的識別能力
相關實體
- rapid7 — 揭露此攻擊的資安公司
- microsoft-teams — 被濫用的通訊平台