透過微軟Teams散布惡意程式的攻擊又一樁!駭客假冒IT支援發動ModeloRAT攻擊

來源: iThome | Rapid7 | https://www.ithome.com.tw/news/176128 發布: 2026-05-26

攻擊概述

Rapid7揭露利用ModeloRAT惡意程式的攻擊活動,攻擊者透過Microsoft Teams假冒IT支援人員,誘騙企業員工執行遠端管理工具並植入惡意程式。

攻擊鏈

  1. 初始入侵: 濫用Teams外部存取(external access)功能(跨租戶直接對話),假冒IT支援部門
  2. 執行惡意程式: 誘使受害者執行PowerShell指令,從Dropbox下載並執行Python惡意程式
  3. 收集資訊: 蒐集環境資訊、下載額外惡意程式、建立C2通訊
  4. 權限提升: 利用CVE-2023-36036(Windows Cloud Files Mini Filter Driver)提升至SYSTEM層級
  5. 憑證竊取: 偽造Windows鎖定畫面,騙取受害者輸入網域登入密碼
  6. 橫向移動: 在內部網路擴散

關鍵技術細節

項目內容
惡意程式ModeloRAT(Python實作)
入侵管道Microsoft Teams外部存取功能
檔案託管Dropbox
提權漏洞CVE-2023-36036(已於2.5年前修補)
使用工具Python、PowerShell、Dropbox
EDR規避可繞過傳統EDR偵測

防禦建議

  • 持續監控Teams外部存取功能
  • 確保CVE-2023-36036補丁已套用
  • 提升員工對Teams社交工程的識別能力

衍生頁面