ModeloRAT透過Microsoft Teams假冒IT支援發動社交工程攻擊

Rapid7於2026年5月26日揭露新型攻擊活動:攻擊者濫用Microsoft Teams外部存取功能假冒IT支援人員,誘騙員工執行Python惡意程式ModeloRAT,進而竊取憑證並進行橫向移動。

攻擊鏈摘要

  1. Teams外部存取功能(跨租戶)假冒IT支援
  2. 誘使執行PowerShell → Dropbox下載Python惡意程式
  3. CVE-2023-36036提權至SYSTEM
  4. 偽造Windows鎖定畫面竊取網域密碼
  5. 橫向移動擴散

ModeloRAT特徵

  • Python實作的遠端存取木馬(RAT)
  • 原針對瀏覽器攻擊,現轉向Teams社交工程
  • 可繞過傳統EDR偵測
  • 利用Dropbox作為惡意程式傳遞管道

防禦重點

  • 監控Teams外部存取功能的異常使用
  • 確保CVE-2023-36036已修補
  • 提升員工對Teams跨租戶溝通的識別能力

相關實體

來源文章