透過微軟Teams散布惡意程式的攻擊又一樁!駭客假冒IT支援發動ModeloRAT攻擊
來源: iThome | Rapid7 | https://www.ithome.com.tw/news/176128 發布: 2026-05-26
攻擊概述
Rapid7揭露利用ModeloRAT惡意程式的攻擊活動,攻擊者透過Microsoft Teams假冒IT支援人員,誘騙企業員工執行遠端管理工具並植入惡意程式。
攻擊鏈
- 初始入侵: 濫用Teams外部存取(external access)功能(跨租戶直接對話),假冒IT支援部門
- 執行惡意程式: 誘使受害者執行PowerShell指令,從Dropbox下載並執行Python惡意程式
- 收集資訊: 蒐集環境資訊、下載額外惡意程式、建立C2通訊
- 權限提升: 利用CVE-2023-36036(Windows Cloud Files Mini Filter Driver)提升至SYSTEM層級
- 憑證竊取: 偽造Windows鎖定畫面,騙取受害者輸入網域登入密碼
- 橫向移動: 在內部網路擴散
關鍵技術細節
| 項目 | 內容 |
|---|---|
| 惡意程式 | ModeloRAT(Python實作) |
| 入侵管道 | Microsoft Teams外部存取功能 |
| 檔案託管 | Dropbox |
| 提權漏洞 | CVE-2023-36036(已於2.5年前修補) |
| 使用工具 | Python、PowerShell、Dropbox |
| EDR規避 | 可繞過傳統EDR偵測 |
防禦建議
- 持續監控Teams外部存取功能
- 確保CVE-2023-36036補丁已套用
- 提升員工對Teams社交工程的識別能力
衍生頁面
- ModeloRAT透過Microsoft Teams假冒IT支援發動社交工程攻擊 — 主要概念頁面
- rapid7 — Rapid7機構頁面
- microsoft-teams — Microsoft Teams產品頁面